Win32调试API Win32自带了一些API函数。提供了相当于一般调试器的大部分功能,这些函数统称为Win32调试API(Win32 Debug API)。利用这些API,可以加载一个程序或捆绑到一个正在运行的程序上以供调试,可以获取被调试程序的底层信息(例如进程ID,进入地址,映像基址等),甚至可以对被调试程序进行任意的修改。 0x01 调试相关函数的简要说明 记录了一些Win32调试API函数的用法,参数,返回值。 0x02 调试事件 作为调试器,监视目标进程的执行,对目标进程发生的每一个调试事件作出应有的…
0x01 WinDbg搭建双机调试环境 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 WinDbg 虚拟机 Vmware 实验过程 配置虚拟机串口 这里的系统是Win10,XP不一样。 管理员启动CMD,输入以下命令 bcdedit /dbgsettings serial baudrate:115200 debugport:2 // 这里的debugport取决于创建的串口id,我是com2 bcdedit /copy {current} /d Debug…
0x01 向量化异常处理 1.1 向量化异常处理的使用 向量化异常处理的基本理念和SEH相似,也是注册一个回调函数。异常发生时会被系统的异常处理过程调用。可以通过API函数AddVectoredExceptionHandler注册VEH回调函数。原型如下 VEH回调函数也形成一个链表。若FirstHandler的值为0,则回调函数位于链表尾部,若参数为非0值,则至于VEH链表最前端。要将该函数的返回值保存下来用于卸载。 VEH回调函数所在的模块被卸载后,系统不能自动将回调函数从VEH链表上溢出,需要程序在退出的过程…
Windows下的异常处理 0x01 异常处理的基本概念 中断(Interrupt)和异常(Exception)。中断是由外部硬件设备或者异步事件产生的,异常是由内部事件产生的。 1.1异常列表 异常是应用程序在执行过程中发现的不正常事件。由CPU引发的异常称为硬件异常,如访问无效的内存地址。由操作系统或者应用程序引发的异常成为软件异常。 常见异常如下: 除了CPU能捕获一个事件并引发一个硬件异常外,在代码中可以调用RaiseException函数主动引发一个软件异常。 void RaiseException( D…
0x01 非明码比较 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 OD 实验过程 通过字符串的交叉引用定位到调用MessageBoxA函数之类,随后看其retn的地址时00401232 40134D是成功的MessageBox。 0040137E函数 伪代码翻译: username is char*; while(*username){ if *usernmae < 'A' call errorMessageBox if *username <…
0x01 函数的识别 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 OD 实验过程 如图所示,call指令将call指令的下一条指令地址压入栈中并且jmp到了00401010 随后retn会将执行结果同pop eip 0x02 函数的参数 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 IDA 实验过程 如图所示,call指令将call指令的下一条指令地址压入栈中并且jmp到了00401010 随后…
0x01 IDA 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 IDA 实验前准备 去下载书籍配套资料。 用IDA打开。 实验过程 结构体 shift + f9打开Structures窗口,随后按ins键添加一个结构体,D键添加输入(db,dw,dd),A键添加ASCII字符为结构体成员。 到数据处Alt+Q进行应用。 汇编代码区选中结构体数据按T 枚举类型 打开Enums窗口,随后按ins键添加一个枚举类型,N键枚举成员。 M键转换为枚举成员。 IDC解…