IDA与windbg分析.dll库文件

最新推荐文章于 2023-10-23 00:42:13 发布
最新推荐文章于 2023-10-23 00:42:13 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Crack 文章标签: idc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45799954/article/details/115623476
版权

windbg与IDA分析库文件

IDA与windbg分析.dll库文件

  • IDA打开.dll库文件
    在这里插入图片描述
  • 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件
  • IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->modules查看地址)
    IDA:\可以选择隐藏函数中变量类型,使得函数看起来更简洁。
    左侧IDA, 右侧windbg
    在这里插入图片描述
  • Windbg:Debug->Event Fliter选择忽略运行调试中的指定错误。

定位

  • 当我们需要在某个地方设置断点,让windbg停在某个地址,我们有如下方法
  • 用IDA的查找字符串功能,找到windbg对应地址
  1. 比如要定位读取某个文件的代码
  2. IDA: 在view->open subviews ->strings 打开string窗口,Alt+T查找字符型,Ctrl+T查找下一个。
    在这里插入图片描述
  3. 寻找函数中的循环,找到读取RouteLR.dst的位置
    在这里插入图片描述
  4. 搜索命令s -a 000007ffd002d0000 Lfffffff "ERROR: Invalid"(000007ffd002d0000是模块librdi_device首地址,Lfffffff是搜索偏移量)
    在这里插入图片描述
  5. 可以使用上文堆栈信息 (bp address 设置断点) (bl 查看断点)
    条件断点:执行多少次中断
    r $t0 = 0
    bp XXX+0x2B8553 “r t 0 = @ t0=@ t0=@t0+1;.printf “times: %d\n”,@ t 0 ; . e c h o ; . i f ( @ t0;.echo;.if(@ t0;.echo;.if(@t0 == 0x10){}.else{gc}”
  6. 定位中断后,命令ba r8 00007ffd`01746aa8 设置读数据断点,在进程中执行特定命令触发中断
  7. windbg命令d + address显示内存信息,下面的命令可以用于打印有用的内存log信息。
    .logopen C:\Users\Administrator\Desktop\vivado\log.txt
    d 000001f5ebe3fa10 000001f5ebe40400
    .logclose
    在这里插入图片描述
千万小心
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【线程同步系列4】线程死锁问题及解决办法
业精于勤,荒于嬉
06-19 1009
线程1拥有了临界区对象A,等待临界区对象B的所有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,就造成了死锁。对多线程来说,如果线程1拥有了临界区对象A,等待临界区对象B的拥有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,那么这就造成了死锁。下面通过代码来演示线程死锁的发生。下面,我们来分析上述程序的执行过程。当线程1得到临界区对象g_csA的所有权之后,调用 Sleep函数,让线程1睡眠1ms,这将导致线程1暂停运行,其目的是为了让线程2优先得到临界区对象g_csB的所有权。
c++ - 动态载入DLL接口,可以给IDA静态分析增加一点麻烦
谢绝留言与私信
04-14 523
工程中用到了PostMessage来压入任务,太扎眼了。在IDA静态分析时,看API引用,很容易看到压入任务的实现。 想动态载入API, 看看静态分析效果如何?网上有大神开源了一个动态载入DLL的封装类(http://www.codeproject.com/KB/DLL/LateLoad.aspx)以前也用过,只是用来方便动态调用DLL接口。 这次用,主要是看看用IDA静态分析时,动态载入的API接口是否容易识别?写个demo(vs2019 vc++ console), 转圈打印字符串. 如果圈数>10,
ida动态调试dll
qq1010624的博客
09-14 4095
有时候会发现有的dll都是动态获取API,IDA静态分析看不了,因此利用IDA动态调试dll,当API获取完毕后保存,便于分析
IDA+windbg调试设置
lixiangminghate的专栏
09-11 7799
    心血来潮想到做crackme来练练手,只借助IDA吧,很难跟踪程序运行过程中的数据;只借助windbg吧,没法修改变量名。开着IDA边改函数名,边根据代码偏移在windbg中定位实在很低效,所以我想有没有什么办法能把两者结合起来?最后在hex-ray.com上找到了解决方案:<Debugging Windows Applications with IDA Windbg Plugin&...
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件在IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA中使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
【软件逆向】如何在windows下远程注入dll并进行虚表hook
zhangjiuding的博客
10-23 1652
如何在windows下远程注入dll并进行虚表hook
windbg结合IDA定位程序崩溃
sanganlei的博客
05-27 530
如何分析dump文件 打开windbg,把dump文件拖进windbg中,输入!analyze –v 图1(找出具体的出错位置) windbg找出出错模块svnets的基地址 图2(找出出错模块的基地址) 通过IDA改变svnet模块基地址...
dll反编译.rar
01-20
6. **依赖分析**:列出DLL文件依赖的其他,有助于解决加载错误。 在"dll反编译.rar"中,我们可能找到了一个这样的工具,但具体功能和使用方法需要解压并运行来探索。不过,需要注意的是,反编译活动可能涉及到...
WinDBG调试技巧
01-03
它能利用symsrv.dll自动下载和管理系统及第三方的符号文件,提供更详尽的调试信息。而VC仅能处理自身产生的和包含的符号文件。两者均支持远程调试,但WinDBG的功能更加全面,其核心调试引擎(dbghelp.dll+dbgeng....
WinDBG用法详解及其插件编写方法
04-16
`IDA plugin writing.doc`文档可能包含有关如何为IDA(一个知名反汇编器)编写插件的信息,虽然不是直接针对WinDBG,但IDA的插件技术原理与WinDBG相似,都涉及API调用和调试接口的使用。 编写WinDBG插件时,你需要...
WinDBG调试技巧 - 挺实用的
08-25
在没有pdb的情况下,原始的image文件dll或exe)成为分析的关键,此时IDA这样的反汇编工具就非常有用。主动调试应用程序时,WinDBG可以直接打开EXE进行调试,或者附加到已经运行的进程,其操作方式和VC类似,可以...
逆向工程实验报告.docx
12-22
- **IDA**:是一款强大的静态分析工具,用于反汇编和理解Bootkit代码。 - **Windbg**:是微软的调试工具,可以对Bootkit进行动态调试,追踪其运行过程。 - **Bochs**:这是一个开源的IA-32架构模拟器,可以模拟硬件...
恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll
maluxiao123的博客
10-19 1321
恶意代码分析实战,Lab05-01.dll
ida使用技巧之动态调试
m0_52164435的博客
05-20 2万+
一、ida动态调试 1、介绍 众所周知,ida是一款非常优秀的反编译软件,在静态逆向中是属于屠龙宝刀一般的存在,他不仅仅有着优秀的静态分析能力,同时还有着极其优秀的动态调试能力,甚至可以直接对生成的伪代码进行调试,这一点远超其他只能在汇编层进行调试的动态调试器,极大的增加了动态调试程序的可读性,能够节省很多精力。甚至可以以远程调试的方式,将程序部署在linux或安卓端上,实现elf文件和so文件等的动态调试。 2、本地调试(Windows) 首先从本地动态调试开始 加载目标文件 万年第一步,使用ida打开目
关于实现隐藏DLL中的函数
jhui163的专栏
05-30 2598
很多人问,既然发布了DLL为什么还要隐藏里面的函数呢?   【答】实际上我是隐藏部分而已,基于防御编程的考虑,编写者当然应该将该公布的公布,隐藏的还是要隐藏比较安全。      首先第一个问题就是,DLL的函数用什么方式查看? 一般都是使用vc自带的Dependency 查看,还有在命令行里面的dumpbin /export  **路径**.dll   ,还有就是网络上的一些dll查看
IDA动态调试破解EXE文件分析APK流程
道阻且长,行则将至。
10-11 5216
文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结 前言 在前一篇文章:JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析,本文主要来看如何使用 IDA调试 Android 中的 native 源码,因为现在一些 app,为了安全或者效率问题,会把一些重要的功能放到
OllyDbg、IDAWINDBG
chengfangang的专栏
07-31 5004
SoftICE和WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。其中WinDBG使用了NT内核的调试机制,要想发挥其功能,需要双机调试,并且被调试内核需要以调试模式启动以激活调试支持(听说国人有神人可以在正在运行的内核上激活调试器,不知道详情)。SoftICE是本机调试器,主要是通过钩住内核的一些功能来获得调试控制权。 IDA,智能反汇编分析器,
反汇编工具IDA使用详解
热门推荐
dvlinker的技术专栏
10-07 4万+
本文详细介绍反汇编工具IDA Pro的使用。
个人单页简历素材-简约单页01.docx
最新发布
07-23
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
用什么软件可以查看ntdll.dll
07-14
你可以使用一些工具来查看和分析 Windows 操作系统中的 ntdll.dll 文件。下面是几个常用的工具: 1. Dependency Walker:Dependency Walker 是一个免费的工具,可以查看和分析 Windows 二进制文件的依赖关系。你可以打开 ntdll.dll 文件,并查看它所依赖的其他文件以及导出的函数。 2. Process Explorer:Process Explorer 是 Sysinternals 工具套件中的一个强大的系统监视工具。它可以显示系统中运行的所有进程以及它们所加载的模块。你可以使用 Process Explorer 查看正在运行的进程中是否加载了 ntdll.dll,并查看它的属性。 3. IDA Pro:IDA Pro 是一款专业的逆向工程工具,可以用于静态分析二进制文件。通过加载 ntdll.dll 文件,你可以使用 IDA Pro 分析其中的函数、结构和代码,并进行更深入的逆向工程操作。 4. x64dbg:x64dbg 是一款开源的 Windows 64-bit 反汇编调试工具。你可以使用 x64dbg 打开目标程序,并查看其中加载的模块,包括 ntdll.dll。通过 x64dbg,你可以跟踪和分析 ntdll.dll 中的代码执行过程。 这些工具都可以帮助你查看和分析 ntdll.dll 文件,提供有关其依赖关系、导出的函数和代码的信息。选择适合你需求的工具,并根据需要进行进一步的分析和研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值