IDA与OD联调 IDA与WINDBG内核联调

最新推荐文章于 2024-05-12 10:01:15 发布
最新推荐文章于 2024-05-12 10:01:15 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36088602/article/details/106153225
版权

环境

系统 :虚拟机是win7 32位内核 实体机win10当前最新版
插件:sync 下载地址:https://github.com/bootleg/ret-sync 经过5月15号测试发现官网上的sync有毛病
后经过火哥指点和火哥用的sync 现把我现在测试可以联调的sync上传到百度云里 大家可以从:https://pan.baidu.com/s/1Wap7RcLrJIhCq1_lZaYOhA 下载 提取码:rozl
注意(我重新安装的python 不是使用IDA自带的Python(我的版本是2.7.6 自行百度下载)) 我的安装目录在C盘目录下(建议就安装在C盘)我的安装目录:“C:\Python27\python.exe”
ps:
火哥交流群:1026716399 火哥QQ:hackflame@live.cn(471194425)

OD和IDA联调—32位程序 | 64位程序自己去测试
1、首先把解压缩目录下的两个文件拷贝到ida安装目录下的plugins目录(直接全部复制粘贴)
在这里插入图片描述
2、启动IDA把win32程序拖进去 在Edit下找到plugins下找到sync 点击开启
在这里插入图片描述
3、找到sync压缩包目录找到ext_olly1或者ext_olly2(注意OD的版本是1就打开1的 是2的就打开2的)
我现在的版本是2 vs版本是2017(注:最好是2017或者2017以上)打开文件重新生成一份dll动态库文件
在这里插入图片描述
把dll文件拷贝到OD目录的Plugin目录,在把32位程序拖进OD里:按下图操作一波
在这里插入图片描述
在OD下断点就可以联调了
如下图IDA颜色变黄色就是联调成功 小伙伴们可以愉快的玩耍了!
在这里插入图片描述
IDA和I内核联调—32位内核 |64位自己去试

IDA启动和之前启动一样

1、windbg调试的步骤指令: 1、 .load sync 2、!sync 3、!synchelp 4、!idblist 5、!idbn 0 如下图所示步骤以设置成功的状态:
在这里插入图片描述
2、我们下一个!NtOpenProcess的断点来测试我们是否连接成功 如下图可见我们已经成功
在这里插入图片描述
OK 完成 睡觉 BY

归途醉染
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ida 安装插件_retsync同步调试插件介绍
weixin_39678103的博客
12-01 1762
ret-sync是一组插件,用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件。ret-syncret-sync的英文全称是Reverse-Engineering Tools SYNChronization(反向工程工具同步)。它是一组帮助调试会话(WinDbg/GDB/LLDB/OllyDbg/OllyDbg2/x64dbg)与反汇编程序(IDA/...
ida:我与IDA相关的文件
05-18
国际开发协会 我与IDA相关的文件 IDC coloring.idc 为“ xor”,“ call”和“ jmp”的背景着色 color.clr深色IDA主题
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg)
05-12
重新同步 ret-sync代表反向工程工具SYNChronization。 它是一组插件,可帮助将调试会话(WinDbg / GDB / LLDB / OllyDbg / OllyDbg2 / x64dbg)与反汇编程序(IDA / Ghidra / Binary Ninja)同步。 基本思想很简单:从两个方面都获得最大收益(静态和动态分析)。 调试器和动态分析为我们提供了: 具有实时动态上下文(寄存器,内存等)的本地视图 内置的专业功能/ API(例如:WinDbg中的!peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 无需处理ASLR,可实时重新定位地址 将数据(注释,命令输出)从调试器传递到反
ret-sync插件:windbg/ollydbg+ida逆向调试神器
lixiangminghate的专栏
07-15 4218
ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。 最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/lldb等调试器: 使用插件前的准备工作 1.虽然作者建议使用vs2017生成插件,但...
探索技术新境界:ret-sync——动态与静态分析的桥梁
最新发布
gitblog_00025的博客
05-12 423
探索技术新境界:ret-sync——动态与静态分析的桥梁 项目地址:https://gitcode.com/bootleg/ret-sync 在信息安全领域,静态分析和动态分析是两大不可或缺的工具。静态分析提供全局视图,深入代码细节;动态分析则揭示运行时行为,揭示实时上下文。然而,如何将两者的优势结合?这就是ret-sync项目所要解决的问题。 1、项目介绍 ret-sync是一个创新性的插件集合...
idaod载入exe区别
陈刚编程心得与知识集
01-21 3105
od是把整个空间都加载起来,而ida只是加载了exe文件,它所关联的dll并没有加载,于是它只分析了exe   我现在有一个exe,它有多个dll    而每一个dll都有调试信息   如果我单个加载dll,我能看到这些调试信息,可我没办法在同一个idb里看,有没什么办法实现在同一个idb里看我想要的分析的模块?
OD学习笔记
心之所向,身之所往
06-08 3820
1、ODIDA是两个常用工具。OD是动态分析,IDA是静态分析。 2、F2下断点,F3加载一个可执行程序。 3、Call *** 按F7可以进入该函数内部,Ctrl + F9运行至ret出,就可以返回程序了。 4、Alt + B打开断点编辑器,用于取消断点,del或者空格取消断点。
IDA逆向与反汇编教程
07-16
6. **15.IDA字符与数据间的转换.7z**: 在逆向工程中,经常需要将内存中的数据解释为字符串或其他类型。这部分教程将介绍如何在IDA中进行数据类型转换,以正确解读程序中的字符串、数字和其他二进制数据。 7. **13...
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
IDA反编译软件-windows版本的
03-29
为了克服递归下降的一个最大的缺点,IDA在区分数据与代码的同时,还设法确定这些数据的类型。虽然你在IDA中看到的是汇编语言形式的代码,但IDA的主要目标之一,在于呈现尽可能接近源代码的代码。此外,IDA不仅使用...
CrackMe033:ODIDA分析结果不同?
可乐松子的博客
05-30 517
文章目录1.基本信息2.第1个错误对话框3.第2个错误对话框4.验证猜想5.注册机6.参考 1.基本信息 CrackMe033和CrackMe034都是《使用OllyDbg从零开始Cracking》第九章的案例 2个程序都是汇编写的,没有壳 题外话:开始入门时看的就是《使用OllyDbg从零开始Cracking》,这个文档很适合入门,当时还对着操作了一遍,但是这次逆向居然不记得以前学过了,重复操作浪费时间了,因此有2点后续一定要注意 1.一定要自己逆向出来,即使参考别人的也要自己操作一遍 2.逆
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件在IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA中使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
CrackMe019:IDAOD联合调试
可乐松子的博客
05-24 491
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) CrackMe019:IDAOD联合调试 CrackMe018和CrackMe019是一个作者编写,都是VC6.0的程序 1.程序基本信息 需要输入正确的用户名和密码才可以破解程序,有错误提示就很容找到处理逻辑的主要函数(如果不明白,可以参考CrackMe001) 2.IDA分析 使用test12
IDA+windbg调试设置
lixiangminghate的专栏
09-11 7795
    心血来潮想到做crackme来练练手,只借助IDA吧,很难跟踪程序运行过程中的数据;只借助windbg吧,没法修改变量名。开着IDA边改函数名,边根据代码偏移在windbg中定位实在很低效,所以我想有没有什么办法能把两者结合起来?最后在hex-ray.com上找到了解决方案:<Debugging Windows Applications with IDA Windbg Plugin&...
ida配合windbg调试程序
lougd的专栏
07-28 5814
ida是静态pe文件分析工具,有强大的汇编代码分析功能可以将pe文件的汇编代码近似还原成c语言代码,windbg是动态调试工具,运行时调试非常方便,对微软自家的pdb符号文件支持的很好,两个工具各有所长。   以下是idawindbg代码对应的方法: 1.ida中静态pe文件基址 2.ida中winmain函数相对基址的偏移量 3.windbg中模块运行后模块的基址 4.在windbg
windows pwn 基础知识
sky123博客
06-21 4491
在 Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
软件分析与破解思路分享
Reveone的博客
08-28 2601
软件的分析破解与平时做ctf中的逆向题是有一定的差别的。最直观的区别体现在两者的大小。一个逆向题一般只有一两兆大小,而一般的软件动辄就是十几或几十兆大小。这无疑增大了分析的困难度,这篇文章将就我最近做过的一些软件的破解进行总结,文章仅供技术学习。
调试学习【1】
m0_51974791的博客
04-20 187
ODIDA Pro ODIDA Pro分别是调试逆向的倚天剑和屠龙刀。 虽然二者都兼容动态调试和静态的调试方式,但是就动态调试而言,OD更为灵活和强大,而静态调试工具的王者则为功能极为强大的IDA Pro。 OD F2 下断点,也就是指定断点的地址 F3 加载一个可执行程序,进行调试分析 F4 程序执行到光标处 F5 缩小、还愿当前窗口 F7单步步入 F8单步步过 F9直接运行程序,遇到断点处,程序暂停 Ctrl+F2 重新运行程序到起始处,一般用于重新调试程序 Ctrl+F9 执行到函数返回处,用
IDA逆向工程进阶指南(中):DEP, ROP与Windbg实战
"这篇教程是关于从零开始学习IDA逆向工程的中篇,涵盖了Windbg的安装配置、lm命令的使用、DEP(数据执行保护)和代码植入的介绍,以及ROP(返回导向编程)的实践。同时,还讲解了如何在启用DEP的情况下进行SEH(结构化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值