IDA同步x32dbg远程调试分析虚拟机内恶意软件

最新推荐文章于 2023-06-21 09:26:51 发布
最新推荐文章于 2023-06-21 09:26:51 发布
阅读量867 收藏 1
点赞数 2
分类专栏: Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/108367235
版权

演示环境:
主机:win10
目标虚拟机:win7
用得到的工具: IDA,0D,ret-sync插件

IDA远程调试虚拟机内可执行程序

在这里插入图片描述
  把IDA的dbgsrv目录下的win32_remote.exe拷贝到虚拟机里。该程序默认获取的是系统第一个适配器的IP地址。

在这里插入图片描述
  我虚拟机里安装了有三个网络适配器。即便禁用网络适配器也没用,win32_remote.exe默认获取的是系统第一个适配器的IP地址,所以其他两个必须通过设备管理器卸载。

在这里插入图片描述
  通过设备管理器卸载其他的网络适配器后,只保留一个本地连接。虚拟机设置为NAT模式。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg
05-12
重新同步 ret-sync代表反向工程工具SYNChronization。 它是一组插件,可帮助将调试会话(WinDbg / GDB / LLDB / OllyDbg / OllyDbg2 / x64dbg)与反汇编程序(IDA / Ghidra / Binary Ninja)同步。 基本思想很简单:从两个方面都获得最大收益(静态和动态分析)。 调试器和动态分析为我们提供了: 具有实时动态上下文(寄存器,内存等)的本地视图 内置的专业功能/ API(例如:WinDbg中的!peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 无需处理ASLR,可实时重新定位地址 将数据(注释,命令输出)从调试器传递到反
windbg 双机调试环境搭建(虚拟机
最新发布
跑不了的你的博客
07-17 1553
WinDbg 是一个调试器,可用于分析故障转储、调试实时用户模式和内核模式代码,以及检查 CPU 寄存器和内存。
ret-sync插件:windbg/ollydbg+ida逆向调试神器
lixiangminghate的专栏
07-15 4108
ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。 最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/lldb等调试器: 使用插件前的准备工作 1.虽然作者建议使用vs2017生成插件,但...
dbg双机调试配置
u014370572的专栏
05-21 434
首先下载好虚拟机,安装好虚拟机 2.右键 windows xp 选择设置 选择添加 选择串行端口  点击下一步 选择输出到命名管道 选择下一步 在以后一部 打开虚拟机  进入到c盘 修改 boot.ini ,添加如下代码 multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Mic
ida 安装插件_retsync同步调试插件介绍
weixin_39678103的博客
12-01 1708
ret-sync是一组插件,用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件。ret-syncret-sync的英文全称是Reverse-Engineering Tools SYNChronization(反向工程工具同步)。它是一组帮助调试会话(WinDbg/GDB/LLDB/OllyDbg/OllyDbg2/x64dbg)与反汇编程序(IDA/...
恶意软件分析工具IDA7
04-05
恶意软件分析工具IDA7
x32_dbg(32位调试器)v2.4.06.10官方汉化绿色特别版
07-25
软件具有简洁的界面以及强大的功能,提供了类似C的表达式解析器、全功能的DLL和EXE文件调试IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用功能,整体效果十分乐观,本...
IDA调试软件.Z01
01-06
IDA调试软件共2个压缩包; IDA.zip IDA.z01
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
IDA Pro强大的调试工具
06-01
IDA Pro强大的调试工具,懂得来取
IDA与OD联调 IDA与WINDBG内核联调
°Destiny
05-16 1341
环境 系统 :虚拟机是win7 32位内核 实体机win10当前最新版 插件:sync 下载地址:https://github.com/bootleg/ret-sync 经过5月15号测试发现官网上的sync有毛病 后经过火哥指点和火哥用的sync 现把我现在测试可以联调的sync上传到csdn里 大家可以从:下载 注意(我重新安装的python 不是使用IDA自带的Python(我的版本是2.7.6 自行百度下载)) 我的安装目录在C盘目录下(建议就安装在C盘)我的安装目录:“C:\Python27
windows pwn 基础知识
sky123博客
06-21 4002
在 Win10 和 Win Server2016 版本之前,只有一种堆类型 NT Heap在 Win10 和 Win Server2016 之后,引入了 Segment Heap(段堆)在之后版本中,除了 UWP 程序之外 一般都继续使用 NT Heap 进行堆管UWP(Universal Windows Platform)是 Win10 引入的一种新的应用程序开发模型,他们采用了一套共享的 API。所以采用 UWP开发的程序,可以在所有 Win10 设备上运行。
IDA导出map文件时的注意事项
我爱密码学
09-04 4264
在不需要Label信息的情况下,不要选中"dummy names"选项,否则在Ollydbg中使用LoadMapEx(by forever)加载时,会将OD的注释替换掉
IDA Pro与x64dbg联动调试记录
H4ppyD0g的博客
09-20 1636
ret-sync编译生成的x64dbg的dp64和dp32后缀文件复制到x64dbgd的release/x64(x32)/plugins目录下。x64dbg打开刚才在ida中打开的可执行文件,点击插件=>syncplugin=>enable sync。将ret-sync项目中的ext_ida目录下所有文件复制到ida的plugins目录下。ida打开一个可执行文件,然后点击edit=>plugins=>ret sync。此时在x64dbg中点击步过就可以看见黄色条条在ida中也跟着移动。
PE文件-C++-MFC-IDA-逆向分析-x32dbg
插件开发
06-28 1663
  按shift+enter返回。在IDA中查找对话框初始化函数。如下图所示:   在x32dbg中,对应的模块如下图所示:   在查找初始化函数时,可以先定位初始化函数。然后在虚函数中,有调用原始函数,所以原始函数返回,即为目标函数所在的位置。如下图所示: 如果在x32dbg中找到一个地址,可以在IDA中查看,这个函数的代码,如下图所示:   通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:   .text:00401165 loc_401165: ;CODE XREF:sub_4011
x64dbg 基本使用技巧
热门推荐
沐一 · 林 的博客
06-22 1万+
最近使用 DBG 多了起来,所以查了一些资料来学习并整理成自适应的笔记。本文摘抄自:x64dbg 使用技巧与实用插件合集官方网站: https://x64dbg.com/DBG 解压后根目录如下图,双击 x96dbg,出现三个弹窗,会生成 x96dbg.ini 文件,里面记录着 32 位和 64位 dbg 程序的路径。 当你需要把整个程序文件夹移动到其他路径时,最好把这个 ini 删除,重新双击让它再生成。当你需要把它加到发送到菜单中的时候,也推荐添加 x96dbg,它会自动选择用 x32 还是 x64db
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8412
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
kdgb linux内核调试,【技术分享】内核调试入门教程
weixin_33305287的博客
05-04 285
预估稿费:260RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言对于内核调试来说,无论是环境的搭设,还是调试工作本身都是相当困难的——从前我就是这么认为的,但是事实证明,实际上它比我们想象的要更容易一些。需要准备的软件IDAPro 6.8+在本文中,我们将使用IDA作为我们的调试器。VisualStudio 2015 + Windows10 SD...
ida linuxserver 远程调试
05-18
要在 Linux 服务器上进行远程调试,需要使用调试器来连接到正在运行的进程。以下是使用 IDA Pro 进行远程调试的步骤: 1. 在 Linux 服务器上启动目标进程,并在启动命令中包含调试选项,例如: ``` $ gdbserver :1234 /path/to/target ``` 这将启动一个 GDB 服务器,监听端口号为 1234,等待调试器连接,并执行目标进程。 2. 在 IDA Pro 中打开目标二进制文件,并选择“Debugger”菜单中的“Remote debugger”。 3. 在弹出的窗口中,选择“GDB remote debugger”,并输入服务器的主机名和端口号,例如: ``` Host: myserver.example.com Port: 1234 ``` 4. 点击“OK”按钮,IDA Pro 将连接到 GDB 服务器,并显示目标进程的运行状态。 5. 在 IDA Pro 中设置断点、单步调试等操作,就可以对目标进程进行远程调试了。 需要注意的是,远程调试可能会受到网络延迟等问题的影响,可能会导致调试器和目标进程之间的通信不稳定。因此,在进行远程调试时,应该尽可能选择稳定的网络环境,并确保服务器和客户端的网络连接畅通。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值