记两次OD调试的过程,OD下断点无效的解决过程

最新推荐文章于 2022-06-26 17:47:33 发布
最新推荐文章于 2022-06-26 17:47:33 发布
阅读量3.5k 收藏
点赞数 3
分类专栏: 逆向 文章标签: 编译器 c++ 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36782182/article/details/105014397
版权

问题

在使用OD(OllyDbg)的过程中,我们可以使用断点开进行反汇编代码的暂停执行,通常在调试自己代码的时候我们会使用搜索expresion的方式来在特定代码处下断点,但是有时候我们成功在所谓有效的expression处下了断点之后执行代码,代码却没有暂停,直接运行到程序结束。这是为什么呢。

注:expression在这里表示一个可以被OD检测到的函数

答案

这是因为我们的代码在编译的过程中,由于

  • 不同字符集的设置
  • 编译器的优化过程
  • 编译器的自主选择

在我们的代码编译之后,可执行文件并没有调用我们认为程序会调用的函数。

解决方法

  • 在进行expression搜索的过程中或者bp expression命令的时候采用对应字符集的expression,例如在你编写程序的时候使用了MessageBox函数,编译后就是unicode字符集对应的窗口函数MessageBoxWASCLL字符集对应的窗口函数MessageBoxA
  • 在使用vs系列编译器时,关闭c、c++的编译优化选项,在使用gccg++命令时,使用-O参数来关闭编译器优化,例如gcc -O0 a.c -o a.exe
  • 某些时候即使你关闭了代码优化,你所使用的函数也不会成为最后编译器编译所使用的函数,例如在你仅仅使用printf函数来输出一串简单的字符时,你的编译器还是会将其替换为puts函数。

例子

例1

程序a.c如下

#include <windows.h>

int a = 1;

int main(void){
    MessageBox(0,NULL,NULL,MB_OK);
	
	// 需要调试的部分开始
    a = 65536
	// 需要调试的部分结束
	
    return 0;
}

使用Mingw编译

g++ -O0 a.c -o a.exe

正确姿势:OD中你必须使用对应的字符集下的函数才能成功对MessageBox函数调用处下断点,在gccg++中默认使用的是ASCLL字符集,你必须在MessageBoxA函数处下断点才能成功暂停程序。

例2

程序b.c如下:

#include<cstdio>

void test(){
	return;
}

int main(void){
	printf("test start \n");
	
	// 需要调试的部分开始
	__asm__("nop");
	test();
	// 需要调试的部分结束
	
	printf("test stop  \n");
	return 0;
}

使用Mingw编译

g++ -O0 b.c -o b.exe

正确姿势: 在编译的过程中,虽然使用了-O0停用编译优化,但是由于printf函数用的太简单,编译器还会有可能使用puts函数替换printf函数,此时在puts函数处下断点才可以正确中断程序。

有马白颠
关注
专栏目录
C/C++指针错误与调试相关学习总结
bcbobo21cn的专栏
08-13 4257
使用VS2010调试技巧让C指针无处遁形 http://blog.csdn.net/21aspnet/article/details/6723758   Linux 下调试远没有windows下的VS方便,不管是VC++6还是VS2003,2005,2008,2010,2012. VS2012自动格式化代码 Ctrl+K+D VS下调试一定要注意尽量不要用F11,要用F10!不然需
常见Windows反调试手段
Snake_74的博客
06-30 1727
文章目录检测数据结构BeingDebuged(字段检测)检测ProcessHeap属性判断STARTUPINFO信息NtGlobalFlagbypass添加IMAGE_LOAD_CONFIG_DIRECTORY结构API反调试NtQueryInformationProcessGetLastError**ZwSetInformationThread**系统痕迹查找调试器引用的注册表项查找窗体信息查找...
OD调试断点——硬件断点
Onlyone_1314的博客
04-11 2830
硬件断点(简称:HBP)是处理器的特性之一,它的工作原理我不是很了解,但是我们会用就行了,我们可以设置硬件断点使程序中断下来。 在OD中我们最多可以设置4个硬件断点,如果想设置第5个的话,你需要删除已经设置了的4个中的其中一个。 硬件断点分为:硬件执行断点(ON EXECUTION),硬件写入断点(ON WRITE),硬件访问断点(ON ACCESS)3种。 硬件执行断点与内存的CC断点作用一样,但硬件执行断点并不会将指令首字节修改为CC,所以更难检测。但是有些程序会使用一些技巧来清除硬件断点,应对方法我们
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
OD无法下断点
Sven的忘却日记
01-04 2076
提示 “无法在断点(可能无效)地址XXXXXXXX 读取寄存器以及更新EIP” 点确定后就崩溃了,查看崩溃模块发现是E_Junk_Code.dll这个插件导致的 将插件删除后,OD不崩溃了,但还是出现那个错误弹窗。 把所有插件都删掉就好了。。 ...
为什么NtReadVirtualMemory 硬件断点无法下断
06-24 291
win7 x64为例 nt!NtReadVirtualMemory ----- nt!MmCopyVirtualMemory NTSTATUS NTAPI MmCopyVirtualMemory(IN PEPROCESS SourceProcess, IN PVOID SourceAddress, IN PEPROCESS TargetProcess, ...
OD硬件断点OD内存断点,API断点
icefoxy的专栏
12-01 9139
一.【设置硬件写入断点】<br />9 i0 B( m; A8 {HW 968A34+ X+ ^: [. R# a<br />命令"HW "的全称是 Hardware Write ,Hardware 是硬件的意思,Write是写入硬件的意思,968A34是某游戏 的内存地址<br />' h: h4 i! p% /) }) /8 w8 u--------------------------------------<br />! /: F; Q) q" R- w0 s, k9 H! {0 c/ w) T
OD调试断点——内存断点
Onlyone_1314的博客
04-11 1159
我们选择Whole line拷贝整行,Whole Table可以拷贝整个列表的断点信息。 Breakpoints, item 0 Address=00401018 Module=CRACKME Active=Always Disassembly=OR EAX,EAX 拷贝下来的信息显示了断点的地址,对应的指令以及激活状态。 程序中断在断点处会在状态栏显示暂停状态。 暂停的原因如下: 接下来我们来了解一下当设置一个断点以后,OD调试器在底层二进制代码是如何将程序中断的,会发生什么变化。 单击鼠标
OD各种断点设置技巧
qq_33597495的博客
12-26 1703
1.INT3断点 设置方法:在汇编窗口双击要断点的行,或使用命令行bp地址设置断点。 原理:当执行一个INT3断点时,该地址处的内容被调试器用INT3指令替换了,此时OD将INT3隐藏,显示出来的仍是中断前的指令。实际在内存中已经被替换成CC了。 这个INT3指令,因其机器码是0XCC,也常被称为CC指令,当被调试进程执行INT3指令导致一个异常时,调试器就会捕捉这个异常,从而停在断点处,然后将断点处的指令恢复成原来的指令。当然,如果自己编写调试器,也可以用其他指令代替INT3来触 发异常。 ..
170508 PyQt-comboBox的Bug修复,OlleyDbg的断点
whklhhhh的博客
05-08 645
1625-5 王子昂 总结《2017年5月8日》 【连续第219天总结】 A. 汇编语言 十七章 PyQt  Bug修复 B. 使用的ComboBox在刷新的时候总会有点谜……两个页面的二级comboBox总是不同步,明明是一样的代码,研究了半天也不知道怎么回事 最后化简到直接调用该comboBox的clear()方法都无效 不过当作为对比,调用一级comboBox的clear()
调试技术
bj5716的博客
04-21 964
前言反调试技术可以被恶意代码用来识别是否被调试,或者让调试器失效,而倘若想要分析相应的包含反调试机制的恶意代码,则需要进行一些操作。我们先来看看主流的一些反调试技术。0x1探测调试器使用windows api使用windows api函数探测调试器是否存在是最简单的反调试技术。下面是一些apiIsDebuggerPresent它查询PEB中的IsDebugged标志。如果进程没有运行在调试器环境中...
od(2)断点检测
weixin_30591551的博客
09-07 187
你得知道有时候是不能下断点的,因为会被发现。 原理:当设置断点后,对应位置的机器码(第一个字节)被替换成0XCC(对应的汇编指令为int3),当cpu执行到此位置,会触发一个异常。 缺点:容易被检测到。 (示例代码来自网络) 1 FARPROC Uaddr; 2 BYTE Mark = 0; 3 (FARPROC&)Uaddr=GetProcAddress(L...
OD设置硬件断点
知其所以然
04-23 6100
有时候,我们用OD 调试程序,采用F2下断点,但是,有时候,程序没有在断点的地方停下来,原因是我们所下的F2断点被消掉了。我们这时可以尝试设置硬件断点。 方法:  与我们下F2断点前面是一样的,找到需要下断点的位置,点击下图的选项设置硬件断点: 接着在运行程序时,OD就会断下来了。 得在用完硬件断点后,删除硬件断点。 方法: 1,打开菜单中的调试选项,选择下图所示的选项:
关于硬件断点
RanCheIce的专栏
04-16 3963
4个断点寄存器DR0~DR3用来设置断点的线性地址。 DR6为状态寄存器,DR7为控制寄存器。 DR4和DR5保留。当CR4.DE==1时,访问DR4和DR5产生#UD异常;IF CR4.DE==0,访问DR4和DR5将是对DR6和DR7的访问。 下面这张表非常清楚:    |---------------|----------------| Dr0|                 用
OD对按钮设置消息断点
weixin_34274029的博客
07-18 409
1.OD 中 按一下 "W" 2.选择一个BUTTON 右键 3. 设置: 3.1仅中断当前窗口 3.2 消息为 201 WM_LBUTTONDOWN 对按钮消息处理设置断点时, 如上所设置 转载于:https://blog.51cto.com/laokaddk/351891...
OD按钮单击事件下断点脚本
friendan的专栏
01-13 1万+
/////////////////////////////////////////////////////////////////////////// /////// ////////// /////// OD按钮单击事件下断点脚本V1 ////////// /////// ////////// /////// ///////// /////// 2016/01/11 by frien
OD假死如何解决,单步速度慢,单步卡!
热门推荐
Safedebug的博客
11-13 1万+
Ollydbg 有时候断点,会遇到一个问题,当你下断点的时候,cpu狂升 然后od就很卡,卡到让你难过,这个问题困扰我好几天了,本来以为 是虚拟机的问题,因为本来我机器配置就不高,以为是机器的问题, 但是后来发现,不是这个问题,通过百度,研究了一会,最后发现看 雪上的一篇文章,大家打开od目录,设置od的配置,    把下面这个改为0就可以了,不过貌似他会自动增长 Restore W
OD 内存断点和硬件断点 小结
期待下集是个可爱梦儿
02-23 1886
0040EE67      90                 nop                              //假设此处为EIP 0040EE68      90                 nop0040EE69      90                 nop0040EE6A      A0 C4FF1200        mov     al, byte ptr [12FFC4]0040EE6F      90                 nop0040EE70
解决OD断点假死的小技巧
c2unix的专栏
06-26 1221
crack用OD调试一些加壳程序,如Themida等,可能你会发现下断后(包括硬件断点),程序跑到断点时,OD会出现假死现像。解决方法很简单,打开OD配置文件ollydbg.ini,你会发现: Restore windows= 123346 //这个Restore windows可能会是一个很大的值现在只需要将Restore windows=0,重新用OD调试程序,假死问题就消失了。造成这问题的原因我也不明白。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值