逆向调试初探

最新推荐文章于 2021-09-20 14:35:23 发布
最新推荐文章于 2021-09-20 14:35:23 发布
阅读量1.2k 收藏
点赞数
分类专栏: 软件调试 文章标签: debug 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuizhilan/article/details/47016827
版权

在开发过程中,我们经常会调用第三方库,当程序出了问题时,有时候崩在了第三方库内,问题就比较难查了,这个时候要找出原因,就需要我们有一定的逆向功底,因为一般第三方库的源代码我们是看不到的,只能通过反汇编的方法来查找。

近日,在某项目的开发过程中,遇到一个问题。我们一台服务器在运行过程中出现了几次崩溃,产生若干DMP文件。我们用windbg打开,设置符号路径,并加载符号。输入

!analyze -v,稍等片刻,windbg便输出了初步的分析结果。如下图所示:

 

其中FAULTING_IP显示了发生错误的那行代码,其汇编代码为:

cmp  dword ptr [eax+14h], edi , 即将以eax为基址,偏移14h处的数值与edi比较。

紧接着这行代码的是EXCEPTION_RECORD这个结构体的信息,当异常发生的时候,系统会自动生成这么一个结构体,来记录异常发生时的信息。我们来看ExceptionAddress表示异常发生时那条指令的地址,图中为100057cb,ExceptionCode为异常代码,为c0000005,这个显而易见,是访问违例了。

NumberParameters是一个用于描述异常的附加参数的数组,对于不同类型的异常,有不同的解释。当异常类型为访问违例时,该数组的第一个元素包含了一个读写标志,表示引起访问违归的操作类型。如果这个值为0,表示线程试图读取不可访问的数据,如果这个值为1,表示线程试图写入不可访问的地址,如果这个值为8,表示线程引发了一个用户模式的DEP违规。数组的第二个元素指定了不可访问数据的虚拟地址。因此综合起来就是,试图读取00000014处的数据时,发生了访问违例。再结合之前的汇编代码,可以推断出根本原因是因为eax0,那么接下来ÿ

最低0.47元/天 解锁文章
马大叔小舅舅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程调试器OllyDbg
04-28
OllyDbg是一款专门为逆向工程设计使用调试器,适合动态分析用户态下执行的应用程序。其内置功能强大的具有代码分析功能的反汇编器,据此OllyDbg识别循环、switch控制块和其它主要代码流程结构。能显示API函数名称及参数,支持在代码和数据之间的交叉引用—代码到数据或数据到代码。OllyDbg最适合用户模式程序的调试分析,界面上提供了大量不同的视图,包括列出模块中的导入导出信息,显示被调试程序(进程)拥有的窗口和其它对象列表,它可以调试在用户态下执行的程序,故适合于大多数程序。
逆向---调试技巧
xuqi7
12-11 175
简单杂乱的调试思路
逆向动态调试之Ollydbg的使用
weixin_43977912的博客
05-26 1196
OllyDbg简称OD,是一款具有可视化界面的用户模式调试器,结合了动态调试和静态分析,具有强大的反汇编引擎,能够识别数千个被C和Windows所使用的函数,并能将其参数注释出,能自动分析函数过程,循环语句,代码中的字符串等,非常容易上手,并且对异常的跟踪处理相当灵活,这些特性使得OllyDbg成为调试ring3级程序的首选工具,爱好者不断地修改,扩充OllyDbg,脚本执行能力和开发插件接口使得其变得越来越强大。 下面是OD的界面: 我们先对它的重要部分进行编号,然后详细介绍, (1)首先我们介绍一下
逆向笔记3--常见的逆向调试方式
weixin_43046297的博客
11-05 1855
根据软件调试经验,这里列举了我个人总结出来的一些常用的软件调试方案 1.nop法 nop法通过用于跳过序列号验证机制,得到最后的成功结果,关键是我们要找到序列号判定的函数,如何找到这个函数,常用的方法有以下几个: 1.利用字符串查找法,右键,查找,引用的字符串,查找判断失败或者成功弹出的字符串,从而向上,找到判定函数的位置,之后再跟进调试。 2.利用调用模块查找法,右键,查看调用的模块,尤其是对于...
windows逆向 -- Debug工具简介
weixin_41489908的博客
09-20 5506
简介: x64_dbg是一款windows系统下非常优秀的64位调试器,与目前热门的“OllyDbg”十分相似,使用过OllyDbg调试工具的朋友应该很容易上手操作。软件具有简洁的界面以及强大的功能,提供了类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用功能,整体效果十分乐观。 一、汇编代码区 1、双击第一列,显示偏移位置 2、双击第二列,在当前代码处可以下断,代码变红 3、选中要修改的汇
Android逆向之动态调试技术
01-19
本篇内容将深入探讨Android逆向中的动态调试技术,特别是针对APK的Smali代码的调试。 首先,进行Android逆向工作之前,必须确保设备已获得Root权限。Root权限允许访问系统级别的文件和功能,这对于调试和修改系统或...
Android逆向动态调试
05-19
Android逆向动态调试思维导图,便捷整理思路,反编译、AS配置、以调试模式启动、IDEA调试命令
WT-JS逆向调试工具
最新发布
04-01
总的来说,WT-JS逆向调试工具为JavaScript开发者提供了强大的调试功能,无论是常规的断点调试还是独特的逆向调试,都能极大地提升开发效率,帮助解决复杂的代码问题。熟练掌握此类工具的使用,对提升JavaScript开发...
鬼鬼js调试工具 js逆向必备
06-18
**鬼鬼JS调试工具**是专门针对JavaScript代码进行逆向工程的一款强大工具,尤其对于JS逆向分析工作来说,它是不可或缺的辅助软件。在互联网安全领域,JavaScript逆向工程经常被用于理解恶意代码的行为,或者在开发...
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
光学逆向调制技术
02-13
介绍了两类典型光学逆向调制器的工作原理,分析了它们面临的技术难题及各自的优缺点。综述了光学逆向调制技术的发展状况,讨论了它在无线光通信中的重要作用。探讨了国内发展光学逆向调制技术的技术瓶颈。
java逆向调试_java逆向相关
weixin_31111015的博客
02-27 157
1.将war文件导入到Eclipse在导入war文件之前,新建项目,比如:webPorject在Myeclipse中:在File===》import==》General中选择Archive File,出现对话框在弹出的Form archive file对话框中选择要导入的项目.war全选 =====>导入第一步中新建立的项目,点击Finish,完成导入。2.java调试语句Exception...
VC++下C++逆向基础
AkeyMaker的博客
11-05 829
局部变量 EBP-8,EBP-C...Debug : PUSH EBP MOV EBP,ESPRELEASE : ESP+XX 参数 EBP+8,EBP+CPUSH EBP MOV EBP,ESP 调用方式 _stdcall 函数内平衡堆栈,有一个参数ret 4,两个ret 8_cdcel函数外平衡堆栈,有一个参数retn,函数外add esp,4
c语言结构体中数据的存放机制
zzx的博客
12-26 4755
#include typedef struct DA da; struct DA {     da* next;     int a;     int b[2];     int *c;     char *d;    char e; }; int main(){     da* A;     A->a=1;     A->b[1]=3;     A->b[0]
Windows API一日一练(60)CreateIoCompletionPort和GetQueuedCompletionStatus函数
01-27 796
Windows API一日一练(60)CreateIoCompletionPort和GetQueuedCompletionStatus函数     在Windows系统里,使用完成端口是高性能的方法之一,比如把完成端口使用到线程池和网络服务器里。现在就通过线程池的方法来介绍怎么样使用完成端口,高性能的服务器以后再仔细地介绍怎么样构造它。其实完成端口是一个队列,所有的线程都在等消息出现,如果队列里有
关于 DWORD PTR [EAX]
weixin_30836759的博客
11-05 987
DWORD PTR [EAX] 的意思: 如果eax的值,即eax中存放的值是400080H, 那么DWORD PTR [EAX]指的是:内存地址400080H中存放的值404000H 转载于:https://www.cnblogs.com/goalpower/p/4075306.html...
C++ stack overflow 局部数组变量定义超过所分配的最大空间
Gary·hou专栏
12-26 2167
局部数组变量定义所分配的最大空间为多少?如何设置大小 有两个程序 A: #include "stdafx.h" int _tmain(int argc, _TCHAR* argv[]) { int nArray[256000] = {0}; nArray[1] = 5; printf("array 1 is %d",nArray[1]); return 0;
【Flash逆向调试之一】环境搭建
非鱼
01-28 9687
一、基础环境说明 系统:win7_x64 浏览器:FireFox(火狐浏览器),(chrome浏览器日志输出环境我没配置出来,如有朋友配置出来请私信告知,我重新修改) 分析软件:JPEXS(需要JAVA支持,请自行安装JAVA环境) 这个软件应该有许多BUG,以及功能简陋,但是应该是市面上最好用的FLASH分析软件了。FLASH分析环境简陋,请大家忍受啊!!! 下载地址:https://
逆向分析反调试程序
weixin_34360651的博客
05-18 487
1.先运行下正常2.打密码 密码错误3.用 OD 调试 发现报异常 说明做了反调试(OD不要用插件不然他会反反调试看不到)4.(这里要用到 win7了 因为 win10 报异常不知道在哪里)win10效果 win7效果可以看出异常地址在哪里5.知道异常地址在哪了用ida静态分析(ida就好办多了这里直接用mac版7.0)一看就知道是汇编写的6.开始分析进回调函数一下就就看到异常地址往下面找一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值