Ollydbg调试多线程程序

最新推荐文章于 2023-02-23 19:32:20 发布
最新推荐文章于 2023-02-23 19:32:20 发布
阅读量954 收藏 3
点赞数
分类专栏: 逆向工程 文章标签: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37232329/article/details/120386368
版权

今天碰到了一个多线程的程序。一时间没了主意,后面查找了资料总结一下两种可行的方法, 先poll出一个做例子吧:

首先最简单的一种,OD自带的:

勾选这两个选项即可。

 

 勾选完后调用完这个CreateThread直接按F9运行程序

 就发现被断在了kernel32.dll模块里,这也很正常,因为CreateThread就是从这个库里导出的,但是我的目的是调试用户代码。

 然后接着按F9就可以断在用户代码里了, 当然前提是你得在用户代码起始位置下个断点。

 怎么在线程用户代码处下断? CreateThread不是压入了线程函数首地址吗,利用栈内的数据即可。 来看看:

 这种方法有缺点也有优点。优点就是无脑直接怼就行。缺点就是不够灵活,如果我现在想回到主线程调试该怎么办? 还有它会在任何一个新线程创建结束都被断下,有时候很烦人。

下面说说第二种方法:

首先在线程函数下断点:

 接着运行完CreateThread别动

 进入OD的线程窗口,快捷键Alt+T打开,双击你要调试的线程进入

 发现现在在系统领空内,直接按F8

 这样就直接进入了要调试的线程了

 如果说我现在想继续调试主线程或者其他线程该怎么办?直接双击进入

这样你就会发现切换回主线程了

 (完)

Kiopler
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ollydbg动态监听
01-25
启动 您可以采用命令行的形式指定可执行文件、也可以从菜单中选择,或直接拖放到OllyDbg中,或者重新启动上一个被调试程序,或是挂接[Attach]一个正在运行的程序OllyDbg支持即时调试,根本不需要安装,可直接在软盘中运行! 线程 OllyDbg可以调试多线程程序。因此您可以在多个线程之间转换,挂起、恢复、终止线程或是改变线程优先级。并且线程窗口将会显示每个线程的错误(就像调用 GETLASTERROR 返回一样)。 调试DLLs 您可以利用OllyDbg调试标准动态链接库(DLLs)。OllyDbg 会自动运行一个可执行程序。这个程序会加载链接库,并允许您调用链接库的输出函数。 源码级调试 OllyDbg可以识别所有 Borland 和 Microsoft 格式的调试信息。这些信息包括源代码、函数名、标签、全局变量、静态变量。有限度的支持动态(栈)变量和结构。 代码高亮 OllyDbg的反汇编器可以高亮不同类型的指令(如:跳转、条件跳转、入栈、出栈、调用、返回、特殊的或是无效的指令)和不同的操作数(常规[general]、FPU/SSE、段/系统寄存器、在栈或内存中的操作数,常量)。您可以定制个性化高亮方案。 名称 OllyDbg可以根据 Borland 和 Microsoft 格式的调试信息,显示输入/输出符号及名称。Object 扫描器可以识别库函数。其中的名称和注释您可任意添加。如果DLL中的某些函数是通过索引号输出的,则您可通过挂接输入库[import library]来恢复原来的函数名称。不仅如此,OllyDbg还能识别大量的常量符号名(如:窗口消息、错误代码、位域[bit fields]…)并能够解码为已知的函数调用。 已知函数 OllyDbg可以识别 2300 多个C 和Windows API 中的常用函数及其使用的参数。您可以添加描述信息、预定义解码。您还可以在已知函数设定 Log断点并可以对参数进行记录。 函数调用 OllyDbg可以在没有调试信息或函数过程使用非标准的开始部分[prolog]和结尾部分[epilog]的情况下,对递归调用进行回溯。 配置 有多达百余个选项用来设置OllyDbg 的外观和运行。 数据格式:OllyDbg 的数据窗口能够显示的所有数据格式:HEX、ASCⅡ、UNICODE、 16/32位有/无符号/HEX整数、32/64/80位浮点数、地址、反汇编(MASM、IDEAL或是HLA)、PE文件头或线程数据块。 运行环境 OllyDbg可以以在任何采用奔腾处理器的 Windows 95、98、ME、NT 或是 XP(未经完全测试)操作系统中工作,但我们强烈建议您采用300-MHz以上的奔腾处理器以达到最佳效果。还有,OllyDbg 是极占内存的,因此如果您需要使用诸如追踪调试[Trace]之类的扩展功能话,建议您最好使用128MB以上的内存。 支持的处理器 OllyDbg 支持所有 80x86、奔腾、MMX、3DNOW!、Athlon扩展指令集、SSE指令集以及相关的数据格式,但是不支持SSE2指令集。
OllyDbg 调试工具
07-29
OllyDbg的最强版本是HawkDbg,比普通的OD功能更加强大和神奇。
ollydbg中文版调试工具
10-03
ollydbg中文版调试工具
Ollydbg调试工具
09-01
吾爱破解专用调试工具,用于反汇编调试工作
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
【愚公系列】2023年06月 逆向分析Ollydbg(进程线程调试
热门推荐
时光隧道
09-30 4万+
进程和线程都是操作系统中用于并发执行任务的概念,但是它们有一些不同点:进程:进程是操作系统中资源分配的基本单位,它是一个运行中的程序实例。每个进程都有自己独立的虚拟地址空间、系统资源和数据栈等。线程线程是进程中的一个执行单元,它是CPU调度的基本单位。一个进程中可以包含多个线程,它们共享进程的资源,包括虚拟地址空间、文件句柄和信号处理等。线程可以看做是一种轻量级的进程,它们之间的切换比进程切换更快捷。
多线程详解介绍
从放弃到开始
05-09 247
1.1、什么是进程1)什么是进程? 进程:正在进行的程序(大白话)。是系统进行资源分配和调用的独立单位。 每一个进程都有它自己的内存空间和系统资源。 多进程:同时运行多个进程。2)多进程有和意义? 多进程好处: 1)用户体验比较好。 2)充分利用系统的资源 1.2、什么是线程1)什么是线程程序在执行的时候,可以启动多个任务,每一个任务都是一个线程线程:是进程中的单个顺序控制流,是一条...
OD调试多线程
kernweak的博客
04-02 1131
首先记得关闭strongOD那些跳过一些异常 然后在线程出下断,比如我这里是10008620 然后在OD,设置优先为空闲 然后F8或者F9就到线程回调了 除此之外,还可以不改优先级别,按着别人博客介绍如下: 一般是下面跟有Sleep函数或者是WaitForSingleObject函数,有时候却没有遇见这样的函数,一直在进程囧.... 所以我一般手动修改它下面接着的代码...
Ollydbg之进程线程调试
ChuMeng1999的博客
10-15 956
目录预备知识1.进程、线程实验目的实验环境实验内容和步骤实验步骤1.使用OD调试进程2.使用OD调试线程 预备知识 本实验要求实验者具备如下的相关知识: 1.进程、线程 进程(Process)和线程(Thread)是操作系统的基本概念,但是它们比较抽象,不容易掌握。从一定意义上讲,进程就是一个应用程序在处理机上的一次执行过程,它是一个动态的概念,而线程是进程中的一部分,进程包含多个线程在运行。 进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时,它才能成为一个活动的实体,我们称其
windows多线程没那么难
vpoet
06-25 2269
windows多线程没那么难 作者:vpoet mail:[email protected] 上一博文中我们引入了CreateThread()多线程编程一个简单的例子,事实上我说windows 多线程没那么难,那是为了安慰你,但是不要怕,困难时让人克服的。再大的困难也难不 倒英雄的中国程序员。 下面我又要介绍一个多线程的问题: 我们首先看一个Demo,经典
OllyDBG调试
07-30
OllyDBG,ring3 由此别无它求; 一次偶然的机会发现了这个版本的,用起来很不错;
OD-困难重重的追踪消息断点
liujiayu2的专栏
08-22 3390
我是菜鸟,高手勿喷,谢谢, 最近逆向某捕鱼游戏,由于需求需要逆向他的封包数据,bp recv加给内存下断点,找到解密消息的地方(收包子线程里面),我要的是是怎们处理里封包,而不只是解密过程,接着向下追查,发现游戏先是把解密好的数据放在模块内存里面,然后给线程窗口)发消息,告诉他,收到网络消息并给你解密好了,赶紧处理吧,发消息是使用的postmessage,窗口句柄参数是窗口,消息ID是0
多进程、多线程调试
生命不息 折腾不止
02-01 964
一、线程调试 进程启动线程,是可以使用OD调试线程中去的;是在WaitForSingleObject这里,之后就是CPU调到线程中去了,我们只需要在createThread 中的线程函数中下断点就能断下来; 二、进程调试 2.1 OD调试时,是不会调到新进程中; 关键函数:CreateProcessW、CreateProcessA 例如:执行程序XXX.ovl的执行参数为:1378358...
OllyDbg笔记-暴力破解简单判断程序(TraceMe.exe与简单Qt程序
IT1995的博客
12-05 7051
目录 基本概念 代码与实例 打包下载 基本概念 分析一个程序,用什么API函数作为切入点十分关键。 设置OllyDbg中断在程序的入口: System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point...
OllyDbg的简单使用
qq_45740212的博客
01-26 7005
本文对OllyDbg的使用进行了简单介绍。
Ollydbg使用指南
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-23 7468
Ollydbg基本操作的汇总
学习笔记-第九章 恶意代码分析实战
Yes_butter的博客
03-18 1069
第九章 OllyDbg 1.加载恶意代码 直接加载可执行文件,甚至dll程序。如果恶意代码已经在你的系统上运行,你可以通过附加进程的 方式调试它。另外,ollydbg是一个灵活的调试系统,可以使用命令行选项运行恶意代码,甚至支持 执行DLL中某个函数。 打开一个可执行文件, 使用ollydbg调试恶意代码的最简单方式,是选择ollydbg界面中的File-open 然后浏览到要加载的...
ollydbg调试64位
最新发布
09-05
对于调试64位应用程序,你可以使用OllyDbg的64位版本或者其他支持64位调试的工具。以下是一些基本步骤: 1. 获取OllyDbg 64位版本:你可以在OllyDbg官方网站上下载最新的64位版本。 2. 打开目标程序:启动OllyDbg,并选择要调试的64位应用程序。你可以使用OllyDbg的文件菜单或拖放方式打开目标程序。 3. 设置断点:根据需要,在目标程序中设置断点。你可以通过右键单击代码窗口上的特定行或指令,然后选择"Toggle breakpoint"来设置断点。 4. 开始调试:点击OllyDbg的运行按钮或按下F9键开始调试目标程序程序将在第一个断点处停止。 5. 调试过程中的操作: - 使用F8键逐过程执行代码,或者使用F7键逐语句执行代码。 - 使用F5键继续执行到下一个断点处。 - 使用F2键在代码窗口中设置或删除注释。 - 使用F4键在堆栈窗口中跳转到当前指令的位置。 - 使用Ctrl+G键跳转到指定地址。 6. 查看寄存器和内存:在调试过程中,你可以使用寄存器窗口查看和修改寄存器的值,使用内存窗口查看和修改内存的内容。 请注意,OllyDbg是一个强大的调试器,但对于64位应用程序调试可能会有一些限制。在某些情况下,你可能需要考虑使用其他支持64位调试的工具,如x64dbg、IDA Pro等。此外,要成功地调试64位应用程序,你需要熟悉x86-64指令集和64位程序调试技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值