IDA与OD联调 IDA与WINDBG内核联调

最新推荐文章于 2024-05-12 10:01:15 发布
最新推荐文章于 2024-05-12 10:01:15 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36088602/article/details/106153225
版权

环境

系统 :虚拟机是win7 32位内核 实体机win10当前最新版
插件:sync 下载地址:https://github.com/bootleg/ret-sync 经过5月15号测试发现官网上的sync有毛病
后经过火哥指点和火哥用的sync 现把我现在测试可以联调的sync上传到百度云里 大家可以从:https://pan.baidu.com/s/1Wap7RcLrJIhCq1_lZaYOhA 下载 提取码:rozl
注意(我重新安装的python 不是使用IDA自带的Python(我的版本是2.7.6 自行百度下载)) 我的安装目录在C盘目录下(建议就安装在C盘)我的安装目录:“C:\Python27\python.exe”
ps:
火哥交流群:1026716399 火哥QQ:hackflame@live.cn(471194425)

OD和IDA联调—32位程序 | 64位程序自己去测试
1、首先把解压缩目录下的两个文件拷贝到ida安装目录下的plugins目录(直接全部复制粘贴)
在这里插入图片描述
2、启动IDA把win32程序拖进去 在Edit下找到plugins下找到sync 点击开启
在这里插入图片描述
3、找到sync压缩包目录找到ext_olly1或者ext_olly2(注意OD的版本是1就打开1的 是2的就打开2的)
我现在的版本是2 vs版本是2017(注:最好是2017或者2017以上)打开文件重新生成一份dll动态库文件
在这里插入图片描述
把dll文件拷贝到OD目录的Plugin目录,在把32位程序拖进OD里:按下图操作一波
在这里插入图片描述
在OD下断点就可以联调了
如下图IDA颜色变黄色就是联调成功 小伙伴们可以愉快的玩耍了!
在这里插入图片描述
IDA和I内核联调—32位内核 |64位自己去试

IDA启动和之前启动一样

1、windbg调试的步骤指令: 1、 .load sync 2、!sync 3、!synchelp 4、!idblist 5、!idbn 0 如下图所示步骤以设置成功的状态:
在这里插入图片描述
2、我们下一个!NtOpenProcess的断点来测试我们是否连接成功 如下图可见我们已经成功
在这里插入图片描述
OK 完成 睡觉 BY

归途醉染
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件在IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA中使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
ida:我与IDA相关的文件
05-18
国际开发协会 我与IDA相关的文件 IDC coloring.idc 为“ xor”,“ call”和“ jmp”的背景着色 color.clr深色IDA主题
ida配合windbg调试程序
lougd的专栏
07-28 5810
ida是静态pe文件分析工具,有强大的汇编代码分析功能可以将pe文件的汇编代码近似还原成c语言代码,windbg是动态调试工具,运行时调试非常方便,对微软自家的pdb符号文件支持的很好,两个工具各有所长。   以下是idawindbg代码对应的方法: 1.ida中静态pe文件基址 2.ida中winmain函数相对基址的偏移量 3.windbg中模块运行后模块的基址 4.在windbg
探索技术新境界:ret-sync——动态与静态分析的桥梁
最新发布
gitblog_00025的博客
05-12 409
探索技术新境界:ret-sync——动态与静态分析的桥梁 项目地址:https://gitcode.com/bootleg/ret-sync 在信息安全领域,静态分析和动态分析是两大不可或缺的工具。静态分析提供全局视图,深入代码细节;动态分析则揭示运行时行为,揭示实时上下文。然而,如何将两者的优势结合?这就是ret-sync项目所要解决的问题。 1、项目介绍 ret-sync是一个创新性的插件集合...
ida借助windbg 双机调试内核
kingswb的博客
04-24 3188
windbg双机调试的话,因为是命令行类似于以编程来代替手工跟踪的方式。习惯了用OD+ida分析的,肯定会不适应,于是就有ida的调试方式可以代替它,我使用的是ida 5.5,可能有一些区别,希望碰到问题的朋友能够一起解决,交流才能进步。 把配置文件配置好的话,会轻松很多。 第一个问题,IDAwindbg插件不读取pdb.cfg里的pdb目录设置,而是固执的放到temp目录去,很让人生
CrackMe019:IDAOD联合调试
可乐松子的博客
05-24 485
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) CrackMe019:IDAOD联合调试 CrackMe018和CrackMe019是一个作者编写,都是VC6.0的程序 1.程序基本信息 需要输入正确的用户名和密码才可以破解程序,有错误提示就很容找到处理逻辑的主要函数(如果不明白,可以参考CrackMe001) 2.IDA分析 使用test12
use IDA debug x64 program
谢绝留言与私信
11-18 1718
前言昨天看见同学在用IDA调试x64, 他的计算机上不用额外设置,就可以调试x64程序. 而我的计算机上,使用和他一样的设置,就是不行… 今天正好学习了用IDA调试ARM程序,开窍了。用类似的步骤完成了用IDA调试x64程序.调试r3的x64程序可以使用windbgx64, x64dbg, IDA. x64dbg和OD用法一致,如果要修改内存,记录运行的中间结果和流程点, 用x64
IDA逆向与反汇编教程
07-16
6. **15.IDA字符与数据间的转换.7z**: 在逆向工程中,经常需要将内存中的数据解释为字符串或其他类型。这部分教程将介绍如何在IDA中进行数据类型转换,以正确解读程序中的字符串、数字和其他二进制数据。 7. **13...
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
IDA反编译软件-windows版本的
03-29
为了克服递归下降的一个最大的缺点,IDA在区分数据与代码的同时,还设法确定这些数据的类型。虽然你在IDA中看到的是汇编语言形式的代码,但IDA的主要目标之一,在于呈现尽可能接近源代码的代码。此外,IDA不仅使用...
windbg结合IDA定位程序崩溃
sanganlei的博客
05-27 514
如何分析dump文件 打开windbg,把dump文件拖进windbg中,输入!analyze –v 图1(找出具体的出错位置) windbg找出出错模块svnets的基地址 图2(找出出错模块的基地址) 通过IDA改变svnet模块基地址...
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg)
05-12
重新同步 ret-sync代表反向工程工具SYNChronization。 它是一组插件,可帮助将调试会话(WinDbg / GDB / LLDB / OllyDbg / OllyDbg2 / x64dbg)与反汇编程序(IDA / Ghidra / Binary Ninja)同步。 基本思想很简单:从两个方面都获得最大收益(静态和动态分析)。 调试器和动态分析为我们提供了: 具有实时动态上下文(寄存器,内存等)的本地视图 内置的专业功能/ API(例如:WinDbg中的!peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 无需处理ASLR,可实时重新定位地址 将数据(注释,命令输出)从调试器传递到反
【翻译】使用VMWare GDB和IDA调试Windows内核
crystal0011的专栏
01-21 3630
自 http://bbs.pediy.com/showthread.php?t=135229 最近喜欢用IDA搞一些内核的东西,于是就到处找IDA关于内核方面的东东。这篇文章实在原文的基础上进行了一定的封装,也算是半原创的东东吧~希望大家不要拍砖撒~ VMWare的GDB调试器功能比较简单也比较基础,该调试器并不知道处理器和线程的任何信息(对于Windows系统),因而如果想要得到一些
IDA+windbg调试设置
lixiangminghate的专栏
09-11 7769
    心血来潮想到做crackme来练练手,只借助IDA吧,很难跟踪程序运行过程中的数据;只借助windbg吧,没法修改变量名。开着IDA边改函数名,边根据代码偏移在windbg中定位实在很低效,所以我想有没有什么办法能把两者结合起来?最后在hex-ray.com上找到了解决方案:<Debugging Windows Applications with IDA Windbg Plugin&...
idaod载入exe区别
陈刚编程心得与知识集
01-21 3102
od是把整个空间都加载起来,而ida只是加载了exe文件,它所关联的dll并没有加载,于是它只分析了exe   我现在有一个exe,它有多个dll    而每一个dll都有调试信息   如果我单个加载dll,我能看到这些调试信息,可我没办法在同一个idb里看,有没什么办法实现在同一个idb里看我想要的分析的模块?
CrackMe033:ODIDA分析结果不同?
可乐松子的博客
05-30 513
文章目录1.基本信息2.第1个错误对话框3.第2个错误对话框4.验证猜想5.注册机6.参考 1.基本信息 CrackMe033和CrackMe034都是《使用OllyDbg从零开始Cracking》第九章的案例 2个程序都是汇编写的,没有壳 题外话:开始入门时看的就是《使用OllyDbg从零开始Cracking》,这个文档很适合入门,当时还对着操作了一遍,但是这次逆向居然不记得以前学过了,重复操作浪费时间了,因此有2点后续一定要注意 1.一定要自己逆向出来,即使参考别人的也要自己操作一遍 2.逆
IDAwindbg分析.dll库文件
weixin_45799954的博客
04-12 2124
windbgIDA分析库文件IDAwindbg分析.dll库文件定位 IDAwindbg分析.dll库文件 IDA打开.dll库文件 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件 IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->m
IDA+OD双剑合璧=逆向无敌
liujiayu2的专栏
06-19 4885
标 题: 【原创】IDA+OD双剑合璧=逆向无敌 作 者: Tennn 时 间: 2015-12-12,22:25:19 链 接: http://bbs.pediy.com/showthread.php?t=206437 我这一周学是薛老师讲课, 大多挺深,我就列出一个典型的吧。  准备工具: ollydbg  ida   vs2012   ----------------
OD/Windbg 一、简介(持续补充)
生命不息 折腾不止
09-09 1440
用于动态调试的工具; 1.1 布局、窗口分析 布局:      L     Log 窗口     E    Executable窗口     M    Memory窗口     T    Threads 窗口: 有时需要激活      W    Window窗口     H    Handle窗口     C    CPU窗口    :汇编代码;     /    Patches 窗口    ...
从零开始学IDA逆向(中)1
08-03
"这篇教程是关于从零开始学习IDA逆向工程的中篇,涵盖了Windbg的安装配置、lm命令的使用、DEP(数据执行保护)和代码植入的介绍,以及ROP(返回导向编程)的实践。同时,还讲解了如何在启用DEP的情况下进行SEH(结构化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值