IDA与windbg分析.dll库文件

最新推荐文章于 2024-04-22 18:01:46 发布
最新推荐文章于 2024-04-22 18:01:46 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Crack 文章标签: idc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45799954/article/details/115623476
版权

windbg与IDA分析库文件

IDA与windbg分析.dll库文件

  • IDA打开.dll库文件
    在这里插入图片描述
  • 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件
  • IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->modules查看地址)
    IDA:\可以选择隐藏函数中变量类型,使得函数看起来更简洁。
    左侧IDA, 右侧windbg
    在这里插入图片描述
  • Windbg:Debug->Event Fliter选择忽略运行调试中的指定错误。

定位

  • 当我们需要在某个地方设置断点,让windbg停在某个地址,我们有如下方法
  • 用IDA的查找字符串功能,找到windbg对应地址
  1. 比如要定位读取某个文件的代码
  2. IDA: 在view->open subviews ->strings 打开string窗口,Alt+T查找字符型,Ctrl+T查找下一个。
    在这里插入图片描述
  3. 寻找函数中的循环,找到读取RouteLR.dst的位置
    在这里插入图片描述
  4. 搜索命令s -a 000007ffd002d0000 Lfffffff "ERROR: Invalid"(000007ffd002d0000是模块librdi_device首地址,Lfffffff是搜索偏移量)
    在这里插入图片描述
  5. 可以使用上文堆栈信息 (bp address 设置断点) (bl 查看断点)
    条件断点:执行多少次中断
    r $t0 = 0
    bp XXX+0x2B8553 “r t 0 = @ t0=@ t0=@t0+1;.printf “times: %d\n”,@ t 0 ; . e c h o ; . i f ( @ t0;.echo;.if(@ t0;.echo;.if(@t0 == 0x10){}.else{gc}”
  6. 定位中断后,命令ba r8 00007ffd`01746aa8 设置读数据断点,在进程中执行特定命令触发中断
  7. windbg命令d + address显示内存信息,下面的命令可以用于打印有用的内存log信息。
    .logopen C:\Users\Administrator\Desktop\vivado\log.txt
    d 000001f5ebe3fa10 000001f5ebe40400
    .logclose
    在这里插入图片描述
千万小心
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【线程同步系列4】线程死锁问题及解决办法
业精于勤,荒于嬉
06-19 1003
线程1拥有了临界区对象A,等待临界区对象B的所有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,就造成了死锁。对多线程来说,如果线程1拥有了临界区对象A,等待临界区对象B的拥有权,线程2拥有了临界区对象B,等待临界区对象A的拥有权,那么这就造成了死锁。下面通过代码来演示线程死锁的发生。下面,我们来分析上述程序的执行过程。当线程1得到临界区对象g_csA的所有权之后,调用 Sleep函数,让线程1睡眠1ms,这将导致线程1暂停运行,其目的是为了让线程2优先得到临界区对象g_csB的所有权。
ida动态调试dll
qq1010624的博客
09-14 4073
有时候会发现有的dll都是动态获取API,IDA静态分析看不了,因此利用IDA动态调试dll,当API获取完毕后保存,便于分析
IDA+windbg调试设置
lixiangminghate的专栏
09-11 7795
    心血来潮想到做crackme来练练手,只借助IDA吧,很难跟踪程序运行过程中的数据;只借助windbg吧,没法修改变量名。开着IDA边改函数名,边根据代码偏移在windbg中定位实在很低效,所以我想有没有什么办法能把两者结合起来?最后在hex-ray.com上找到了解决方案:<Debugging Windows Applications with IDA Windbg Plugin&...
dll文件是什么?dll文件的详细解析来了!
最新发布
aizhiniao6的博客
04-22 4064
DLL文件,是Windows操作系统的关键组件,它们支持模块化的软件设计,允许程序在需要时将这些加载到内存中,而不是持续占据内存资源。这篇文章将解释DLL文件的作用,并为你提供多种解决DLL文件遗失问题的策略。
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件在IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA中使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
【软件逆向】如何在windows下远程注入dll并进行虚表hook
zhangjiuding的博客
10-23 1638
如何在windows下远程注入dll并进行虚表hook
windbg结合IDA定位程序崩溃
sanganlei的博客
05-27 523
如何分析dump文件 打开windbg,把dump文件拖进windbg中,输入!analyze –v 图1(找出具体的出错位置) windbg找出出错模块svnets的基地址 图2(找出出错模块的基地址) 通过IDA改变svnet模块基地址...
dll反编译.rar
01-20
6. **依赖分析**:列出DLL文件依赖的其他,有助于解决加载错误。 在"dll反编译.rar"中,我们可能找到了一个这样的工具,但具体功能和使用方法需要解压并运行来探索。不过,需要注意的是,反编译活动可能涉及到...
WinDBG调试技巧
01-03
它能利用symsrv.dll自动下载和管理系统及第三方的符号文件,提供更详尽的调试信息。而VC仅能处理自身产生的和包含的符号文件。两者均支持远程调试,但WinDBG的功能更加全面,其核心调试引擎(dbghelp.dll+dbgeng....
WinDBG用法详解及其插件编写方法
04-16
`IDA plugin writing.doc`文档可能包含有关如何为IDA(一个知名反汇编器)编写插件的信息,虽然不是直接针对WinDBG,但IDA的插件技术原理与WinDBG相似,都涉及API调用和调试接口的使用。 编写WinDBG插件时,你需要...
WinDBG调试技巧 - 挺实用的
08-25
在没有pdb的情况下,原始的image文件dll或exe)成为分析的关键,此时IDA这样的反汇编工具就非常有用。主动调试应用程序时,WinDBG可以直接打开EXE进行调试,或者附加到已经运行的进程,其操作方式和VC类似,可以...
逆向工程实验报告.docx
12-22
- **IDA**:是一款强大的静态分析工具,用于反汇编和理解Bootkit代码。 - **Windbg**:是微软的调试工具,可以对Bootkit进行动态调试,追踪其运行过程。 - **Bochs**:这是一个开源的IA-32架构模拟器,可以模拟硬件...
恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll
maluxiao123的博客
10-19 1318
恶意代码分析实战,Lab05-01.dll
ida使用技巧之动态调试
m0_52164435的博客
05-20 2万+
一、ida动态调试 1、介绍 众所周知,ida是一款非常优秀的反编译软件,在静态逆向中是属于屠龙宝刀一般的存在,他不仅仅有着优秀的静态分析能力,同时还有着极其优秀的动态调试能力,甚至可以直接对生成的伪代码进行调试,这一点远超其他只能在汇编层进行调试的动态调试器,极大的增加了动态调试程序的可读性,能够节省很多精力。甚至可以以远程调试的方式,将程序部署在linux或安卓端上,实现elf文件和so文件等的动态调试。 2、本地调试(Windows) 首先从本地动态调试开始 加载目标文件 万年第一步,使用ida打开目
关于实现隐藏DLL中的函数
jhui163的专栏
05-30 2597
很多人问,既然发布了DLL为什么还要隐藏里面的函数呢?   【答】实际上我是隐藏部分而已,基于防御编程的考虑,编写者当然应该将该公布的公布,隐藏的还是要隐藏比较安全。      首先第一个问题就是,DLL的函数用什么方式查看? 一般都是使用vc自带的Dependency 查看,还有在命令行里面的dumpbin /export  **路径**.dll   ,还有就是网络上的一些dll查看
IDA动态调试破解EXE文件分析APK流程
道阻且长,行则将至。
10-11 5192
文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结 前言 在前一篇文章:JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析,本文主要来看如何使用 IDA调试 Android 中的 native 源码,因为现在一些 app,为了安全或者效率问题,会把一些重要的功能放到
OllyDbg、IDAWINDBG
chengfangang的专栏
07-31 5002
SoftICE和WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。其中WinDBG使用了NT内核的调试机制,要想发挥其功能,需要双机调试,并且被调试内核需要以调试模式启动以激活调试支持(听说国人有神人可以在正在运行的内核上激活调试器,不知道详情)。SoftICE是本机调试器,主要是通过钩住内核的一些功能来获得调试控制权。 IDA,智能反汇编分析器,
反汇编工具IDA使用详解
热门推荐
dvlinker的技术专栏
10-07 4万+
本文详细介绍反汇编工具IDA Pro的使用。
使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接函数的调用过程
liujiayu2的专栏
06-19 6352
标 题: 【原创】使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接函数的调用过程。 作 者: shayi 时 间: 2015-02-12,05:19:54 链 接: http://bbs.pediy.com/showthread.php?t=197829 使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接函数
用什么软件可以查看ntdll.dll
07-14
你可以使用一些工具来查看和分析 Windows 操作系统中的 ntdll.dll 文件。下面是几个常用的工具: 1. Dependency Walker:Dependency Walker 是一个免费的工具,可以查看和分析 Windows 二进制文件的依赖关系。你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值