关于在程序开头下断点

最新推荐文章于 2019-09-17 20:36:14 发布
最新推荐文章于 2019-09-17 20:36:14 发布
阅读量736 收藏
点赞数
分类专栏: CS 文章标签: assembly 任务调度 汇编 任务 c xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tnttools/article/details/1626063
版权
(1)
在有源代码的情况下,最常见的方法:载入*.PDB 进入调试器,然后在WinMain, DriverEntry下断点。

(2)
但是如果没有源代码,最常见的方法是在驱动或程序入口点改成CC或F1,被调试器截获后,将代码改回去,EIP回拨一格,继续执行。

(3)
对于驱动程序,因为系统的装载机制,还有一种办法可行。
系统装载驱动程序的实际代码在IopLoadDriver中,这个函数在内部会调用驱动程序入口点函数。
在这个调用处下个断点,单步跟下去,就会到驱动程序入口点。

在不同的操作系统上源代码实现都是如此,但汇编代码可能不同

-----------------------------
Figure 1. C source
    status = driverObject->DriverInit( driverObject, &registryPath->Name );
-----------------------------
Figure 2.   Assembly
; 5.1.2600
FF B5 70 FF FF FF       push    [ebp+P]
57                          push    edi
FF 57 2C                c  all    dword ptr [edi+2Ch]
-----------------------------


(4)
在看了系统对可执行文件的装载机制后,发现:第三种方法对.exe文件不可行。

XP创建进程在CreateWindowProcessInternalW中实现。
大致的函数流为:
NtCreateProcess -> NtCreateThread -> NtResumeThread -> KeResumeThread -> KiWaitTest
绕了一大圈后,任务还是交给了任务调度器去完成。

--------------------------------------------------------------------------
FF 81 A0 01 00 00       inc     dword ptr [ecx+1A0h]
81 C1 9C 01 00 00       add     ecx, 19Ch
33 D2                   xor     edx, edx
E8 4E 36 FE FF          call    @KiWaitTest@8   ; KiWaitTest(x,x)
--------------------------------------------------------------------------








 
tnttools
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NT 下动态切换进程分析笔记
05-11 1845
Author: sinisterEmail:   sinister@whitecell.orgHomepage:http://www.whitecell.orgDate:   2005-11-162005-2-22  在应用层想要动态嵌入其他进程内存空间,我们可以调用 CreateRemoteThread() 等相关函数来实现。那么在内核态想要动态嵌入其他进程内存空间又如何做呢?这时我们需要调用一
基于线程调度的同步机制
maomao171314的专栏
11-24 422
基于线程调度的同步机制 1 线程进入等待 当一个线程的控制流到达一个等待函数时,若等待的条件不满足,则线程调度器会将处理器的执行权交给其他处于备用或就绪状态的线程。这些被等待的对象可以用来协调线程之间的行为,它们被称为同步对象或者分发器对象。头部以DISPATCH_HEADER开始的对象都市分发器对象,定义如下: typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; ...
windows平台的多线程同步互斥:从内核源码分析----小话多线程(3)
编程语言技巧经验分享
08-16 4707
作者:陈曦 日期:2012-8-16 13:05:34 环境:[win7 32位操作系统  Intel i3 支持64位指令   VS2010;   wrk-v1.2 ;   Source Insight]   转载请注明出处 Q1: 举个windows平台简单的线程例子吧。 A: 如下,保存为thread_test.c: #include #inclu
windows消息处理过程及消息钩子
研究源码的最底层,只持有正确的仓位
01-15 3161
应用层发消息: 发送消息过程 SendMessage(user32.dll)->SendMessageWorker,先检查有没有hook消息钩子,有的话调用CsSendMessage,进入消息钩子过滤函数。 没有的话,看是不是系统消息,是的话在Message表中找到对应msg id的索引值,通过索引值在在gapfnScSendMessage数组中找到对应的消息处理函数 如果是NtUser...
windows已在xxx.exe中触发一个断点,其原因可能是堆被损坏,这说明xx.exe中或它所加载的任何DLL中有bug。
jasscical's blog
09-17 1911
多半是内存释放出错。 找一找: new,delete new[],delete[] 是不是成对出现。 你用的哪个new,delete也是用哪个,不要搭错了。 这是我今天犯得小错误~
支持断点下载的VBS代码
09-05
标题中的“支持断点下载的VBS代码”指的是使用Visual Basic Script(VBS)编写的一段程序,该程序能够实现文件的断点续传下载。断点续传是一种网络下载技术,允许用户在中断下载后从上次停止的地方继续下载,而不是...
程序设计语言的发展概述.pptx
最新发布
11-21
",其主要语法特点包括:程序以main函数开头,执行从main函数开始,使用printf函数输出文本,以分号结束语句,使用'\n'作为换行符。通过理解这些基本概念,我们可以逐步学习和掌握更复杂的程序设计。
TC 调试程序源代码.zip_TC 程序
09-23
6. **错误处理**:良好的错误处理可以提供有用的调试信息,确保程序在异常情况下也能运行得体。 调试技巧包括: - 使用`printf`语句打印关键变量的值来跟踪程序运行。 - 利用Turbo C的断点功能,观察代码在特定点的...
如何将多个C语言模块组合成一个程序
08-03
在调试阶段,可以利用断点、单步执行等工具检查代码运行情况,确保程序的正确性。 总结来说,将C语言模块组合成一个程序涉及以下几个关键点: 1. 使用static关键字定义内部函数,限制其作用范围。 2. 使用extern...
codeblocks教程C C++程序设计编辑器.zip
10-12
程序会在断点处暂停,你可以使用"单步执行"、"继续"、"查看变量"等选项进行调试。 七、管理项目和文件 在项目管理器中,你可以轻松地添加、删除或重命名文件。通过右键点击项目名,选择"添加" -> "新建文件",可以...
当前不会命中断点 还没有为该文档加载任何符号
热门推荐
zztoll的专栏
08-15 13万+
相信很多人在网页编程时都遇到过这个问题,就是设置断点时给出提示,之后不能选中。我今天也碰到这个问题了,足足折磨了我一天。设置是debug没错,我也没有找到“C/C++->常规->调试信息格式”这个东东,估计是C++里的设置,我用的是C#。”将”要求源文件与原始版本完全匹配”的勾取
Python内核之PyCodeObject
The Art Of Reverse Engineering
06-04 1718
 在Python内核看来,任何一个代码作用域都会对应一个PyCodeObject。Py3K的PyCodeObject定义在code.h中,位于/branches/py3k/Include,如下所示/* Bytecode object */typedef struct {    PyObject_HEAD    int co_argcount; /* #argu
为什么迅雷不见了?
The Art Of Reverse Engineering
02-04 1511
[故障现象]:我先后装了Firefox3.0.5+Flashgot1.1+Xunlei3.5。Firefox页面上的右键菜单始终不出现Xuneli菜单项。 [原因]:Flashgot无耻地阻止了Xunlei菜单项的显示。 [解决方案]:删掉Flashgot [技术细节]: 源代码参见[/extensions/{19503e42-ca3c-4c27-b1e
如何在Firefox中播放MID文件?
The Art Of Reverse Engineering
12-20 1074
 如何在Firefox中播放MID文件?By TNTTOOLS(The Art of Reverse Engineering) http://blog.csdn.net/tnttools 如何在Firefox中播放MID文件? 在HTML语言中,实现媒体对象的插入有两个元素可以选用:embed和object。IE6对这两种元素均作支持,而FF2只支持embed。当FF读取到
What the hell is InitCommonControlEx doing?
The Art Of Reverse Engineering
05-27 996
Dedicated to those who never stop asking why.By TNTTOOLS, The ART of Reverse Engieering.Figure I. Prototype for InitCommonControlsvoid InitCommonControls(VOID);Figure II. Implementation for In
如果调用GetStringFromName返回错误
The Art Of Reverse Engineering
01-21 562
在用Visual Studio 2008编写Firefox控件时遇到一个问题,调用GetStringFromName()总是返回以下错误----------------------------------------------------------------------------------------错误: uncaught exception: [Exception... "C
Desktop, Desktop, Desktop, bugging softice, buggin me, bugging you
The Art Of Reverse Engineering
05-21 497
Who are most familiar with Windows? May be SoftICE, but not always. This is a common scenario: When you Ctrl+D, and input "hwnd", it is "Unable to find a desktop Window". How to resolve it ... By T
一个有关typeglob问题的解答
The Art Of Reverse Engineering
02-24 428
[免责声明]这里不是Perl的百科全书,这里http://www.perl.org/才是。个人理解,难免有错。 [预备知识]在Perl中,由our声明的变量均会被视为全局变量;由my声明的变量均会被视为局部变量;由local声明的变量是同名全局变量的本地拷贝。或者说:由local声明的变量均会被视为全局变量。所有的全局变量,既在包符号表中,也会被登记在全局符号表中。可以通过
掌握GDB:UNIX下的程序调试利器
"GDB完全手册.pdf - 一本关于如何使用GDB进行程序调试的详细指南,适合在UNIX环境下进行C语言开发的程序员。" 在深入探讨GDB之前,我们首先理解一下C语言编程的基本背景。C语言是一种强大的、低级别的编程语言,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值