----OD/windbg 调试
文章平均质量分 82
eGanWo
联系方式:641290869@qq.com
展开
-
OD/Windbg 一、简介(持续补充)
用于动态调试的工具;1.1 布局、窗口分析布局: L Log 窗口 E Executable窗口 M Memory窗口 T Threads 窗口: 有时需要激活 W Window窗口 H Handle窗口 C CPU窗口 :汇编代码; / Patches 窗口 ...原创 2018-09-09 11:22:01 · 1448 阅读 · 0 评论 -
逆向反汇编:从C/C++到汇编 (持续更新)
各位读者,总结如有错误请指正,谢谢。2.1 常见指令2.1.1堆栈相关命令Push:把一个32位操作压入堆栈中。Esp -4,我们认为栈顶是最小的区域;Pop:与push相反,一个数据出栈;sub:减法:第一个是被减数的寄存器,第二个参数是减数;Add:加法:Ret:返回,自动的弹出返回地址;Call:调用函数。将下一条指令的地址压入堆栈中,然后指向它调用的函数的开头;区别:...原创 2018-09-09 11:29:57 · 4685 阅读 · 0 评论 -
OD使用技巧 (持续更新中)
常见问题,从易到难,如果错误,请指正,谢谢。OD 做逆向分析的关键:函数调用参数及返回值的变化、内存数据变化;3.1 如何将在一个OD中下的断点,在另外一个OD重中使用?方法:将当前库的UDD文件拷贝到新的OD的UDD文件夹下即可;3.2 如何下条件断点?当某处多次被跑到,需要在特定的情况下停下,使用条件断点;快键: Shift + F12例如:如果想到值为A的时候断...原创 2018-09-09 11:38:22 · 3249 阅读 · 0 评论 -
C++ 反编译揭秘 笔记
一、 基本数据表现形式1.1 整数类型整数使用二进制直接存储; 1.1.1 有符号第一位是符号,0表示正,1表示负;负数:补码 = 反码 + 1;计算机只能做加法,所以负数使用补码做加法; 1.1.2 无符号32位取值范围:0x00000000 ~ 0xFFFFFFFF (4294967295); 小端方式:根据数据类...原创 2019-02-01 16:05:19 · 12184 阅读 · 0 评论 -
逆向反汇编 --寄存器的种类和用法(转)
一、4个数据寄存器(EAX、EBX、ECX和EDX)EAX:rep 每次初始化的内容、函数返回值存储、系统调用标号;ECX:rep 循环的额次数;fastcall的第一个参数;EDX:fastcall的第二个参数;EBX:32位CPU有4个32位的通用寄存器EAX、EBX、ECX和EDX。对低16位数据的存取,不会影响高16位的数据。这些低16位寄存器分别命名为:AX、BX、CX和D...转载 2019-02-10 12:06:32 · 1510 阅读 · 0 评论 -
使用detours 写windows hook函数
一、hook函数基于windows消息处理机制的一个平台,windows维持一份钩子列表,消息来后,钩子函数优先被调用,调用结束后,还是会回到源函数中执行;二、hook作用修改逻辑、打印内存 ,便于逆向分析;三、工具detours 简介钩子函数框架,可以适合arm、16位、32位、64位的操作系统 ;关注点:基地址、函数偏移、被勾函数的原型;四、实现钩子:如果A....原创 2019-02-21 00:48:47 · 2387 阅读 · 0 评论 -
逆向反汇编: X86进入函数的时候到底发生了什么?
一、引入问题 随便问一个软件开发人员,函数调用的时候发生了什么,大家都会说出,“函数先保存环境,再执行函数,再恢复环境,再返回”,这样是不错,但是不够具体,我们要知道函数的调用约定、帧栈的形成、平栈、函数的识别等具体的细节;二、函数调用完整的代码及汇编函数调用部分: bool bFlag = testFunction(i, l);00D2...原创 2019-03-15 23:16:23 · 377 阅读 · 0 评论 -
OD 脚本的编写与思考
一、OD脚本 OD脚本语言是一种类汇编的语法,将OD里面的操作以命令的方式组织起来;二、OD脚本语法 命令有很多,但是记住一些常用的缩写,记住也就不难了(多看多用,自然就熟悉) BP: break Point HW:hardWare M: memory C: clear CND: condtio...原创 2019-04-03 00:02:27 · 2415 阅读 · 0 评论 -
OD 与X32 的条件记录断点的使用和对比
一、应用场景 我们在逆向分析的过程中,往往碰到一些需要打印内存数据的情况,特别是分析对象将数据写在代码里面的时候,少量有规律的数据可以通过条件记录断点来进行打印。二、OD的条件记录断点 下断点后,右键选择条件断点,弹出条件记录的设置框框,相关选项如下: 条件:为空就行了 说明:不用填 表达式记录描述:dwo...原创 2019-05-11 21:51:03 · 1663 阅读 · 0 评论