在OD中使用条件断点进行调试

最新推荐文章于 2021-05-24 21:16:07 发布
最新推荐文章于 2021-05-24 21:16:07 发布
阅读量1.6k 收藏 3
点赞数
分类专栏: 逆向学习、病毒分析之路 文章标签: OD条件断点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/85008780
版权
本文介绍了在OD调试器中如何使用条件断点以提高逆向工程的效率。通过两种方法演示了如何设置条件断点,特别是在CreateFileW和循环条件判断中的应用。强调了在创建条件时注意UNICODE字符串的表示以及反斜杠的正确使用。
摘要由CSDN通过智能技术生成

      最近在逆向HR杀毒软件,感觉压力很大,但是还好有前人已经帮助我们探过路了,并且也有大佬分享了一些经验,让我们逆向分析起来可以不用踩那么多坑,这里我就简单的是记录下我在逆向过程中,发现自己的一些问题,帮助自己成长。

      在OD使用过程中,为了能够快速断在指定解密代码处,我就在读写文件处下断,再逐步跟Call,发现等它打开指定文件的时候,很麻烦,而且要等很长时间,于是就觉得为什么不用条件断点呢?其实之前没怎么好好用过条件断点,今天看了一篇博文,觉得写的不错,我就决定也在自己的博客下面记录下,这样自己哪天看的时候一下子就明白了。本博文也是讲条件断点如何使用的。

第一种下条件断点的方法:

CreateFileW

切换地址后如下所示:

这样子主要是方便大家理解,对于经常调试的人来说,不用切换成这样也能每次定位到相应的栈地址空间中,之后我们在CreateFIleW函数地址处,按下Shift&

最低0.47元/天 解锁文章
ATree、063
关注
专栏目录
全面解析OD各类断点
lambda
04-27 3797
1 INT 3断点 当执行一个INT3断点时,该地址处的内容被调试器用INT 3指令替换了(但是OD隐藏了这个替换,不让我们看到),因其机器码是0xCC,也称为“CC断点”。程序执行到INT 3指令时会导致一个异常,OD捕获这个异常,停在断点处,并将断点处的指令恢复为原来的指令。“F2”或bp设置的就是这种断点。 特点:会断在该指令执行前。 优点:可以设置无数个这样的断点。 缺点:改变了原程序机器码,可能被程序校验导致下断后程序退出。 2 硬件断点 使用DR0-DR3调试寄存器设定断点地址,DR4和DR
OD条件断点
03-08 571
OllyDbg supports very complex expressions. Formal grammar of expressions is described at the end of this topic, but honestly - you are not interested in it, are you? So I'll begin with examples:<br /><br /><br />10 - constant 0x10 (unsigned). All integer c
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
OD条件与消息断点的设置方法
liubingyuan的专栏
11-29 656
 OD条件与消息断点的设置方法编写整理:Coderui一、条件断点使用方法(如):在当前行按[Shift+F2]键->条件断点(这个不太好用,因为程序BUG偶尔失效)。在当前行按[Shift+F4]键->条件记录断点(只要设置上条件语句和按什么条件生效就可以了)。条件语句(如):EAX == 00401000                      ; 当EAX的值为00401
OD里SHIFT+F4条件断点用法篇
weixin_34283445的博客
07-15 774
先说一点 ALT+L 看记录~ 在某条语句上按了SHIFT+F4后出现了个对话框, 1)第一行是"条件": 要输入的肯定是你感兴趣的条件啦,比如说下面的俩句 0041150 push eax 0041151 call [TranslateMessage] 你在0041150处下条件记录断,假如这时候你要是想知道ESI等不等于0,那就可以...
OD断点大全
liujiayu2的专栏
06-30 1728
OD断点[Breakpoints]   OllyDbg支持数种不同类型的断点:   一般断点[Ordinary breakpoint], 将您想断的命令的第一个字节,用一个特殊命令INT3(调试器陷阱)来替代。您可以在反汇编窗口要设断点的指令行并按下 F2 键就可以设定一个此类型的断点。也可以在快捷菜单设置。再次按下 F2 键时,断点将被删除。注意,程序将在设断指令被执行之
OD调试器源码
09-18
3. **反调试技术**:许多程序会使用调试技巧来防止被调试OD调试器需要克服这些障碍。源码可能会包含识别和规避反调试策略的方法。 4. **汇编语言和指令分析**:调试器的核心功能之一是解析和解释CPU指令。...
Angular2使用vscode断点调试ts文件的方法
01-21
VSCode自带debugger工具,管理后台项目使用angular2,试了下调试ts文件十分方便。下面是具体的实现步骤以及踩的坑。当你调试出来后,回头看这个设置还是十分简单的。我使用的是ng-cli创建的项目。后面再补充一般项目...
OD断点教程
07-25
本文件主要详细讲解了ollydbg的断点操作。
OD断点和命令
12-20
OD断点和命令,学挂比用额,想学的下来看看
OD常用断点大全(精心准备)
06-02
列举较全面断点,对你一定有用的。用OD调试吧,用了你就知道,我不多说了
OD按钮单击事件下断点脚本.rar
01-13
断点是编程调试的一个重要概念,它允许开发者暂停程序的执行以便检查当前的状态,如变量的值、调用栈或者内存状态。在OD按钮的单击事件下设置断点,意味着当用户点击这个按钮时,程序会在执行该事件处理函数之前...
od条件断点学习心的
jakcymay的专栏
12-23 723
我只说步骤:假如你想在CreateFileA处,当FileName == "c://aaa//bbb//1.txt"断下程序0384FE7C   0061742D  /CALL to CreateFileA from QQHelper.006174270384FE80   02E6A278  |FileName = "c://aaa//bbb//1.txt"0384FE84   40000
OD调试断点——条件断点
Onlyone_1314的博客
05-24 2943
文章目录条件断点条件记录断点 条件断点 条件断点实际上就是普通的CC断点,只不过该断点的触发需要满足设置的条件,如果满足设置的条件,那么程序就会断下来,如果不满足条件的话,就和没有设置CC断点差不多。 我们来看一个例子: 重启OD并清除我们之前设置的所有硬件断点,我们在40100E处设置一个条件断点,在40100E处单击鼠标右键选择-Breakpoint-Conditional。 就会弹出设置条件的窗口。 举个例子,如果你想当前EAX等于400000的时候,程序断下来,那么条件应该写成:“EAX
OD断点和命令
weixin_30354675的博客
07-08 181
BP 表达式 [,条件] 在指定地址设置INT3 断点 BP EAX+10BP 410010, EAX==WM_CLOSEBP Kernel32.GetProcAddress BPX 标签 在当前模块每一个对外部标签的调用设置断点 BPX CreateFileA BC 表达式 删除指定地址的断点 BC 410010 MR 表达式1 [,表达式2] 设置指定范围的内存访问...
OD实例2-条件断点
weixin_30849403的博客
07-03 538
以下演示如何下条件断点: 在调试过程,经常希望断点满足一定条件时才断,这类断点称为条件断点, 在OD的帮助文档有详细的说明: (1)按寄存器条件断: 用OD打开Conditional_bp.exe,在0040147c,按shift+F2设置条件断点: 输入表达式eax == 040000,这样如果eax为0400000h,OD断, 用OD帮助文档解释下: 04000...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值