一、應用場景
我們在逆向分析的過程中,往往碰到一些需要列印記憶體資料的情況,特別是分析物件將資料寫在**裡面的時候,少量有規律的資料可以通過條件記錄斷點來進行列印。
二、od的條件記錄斷點
下斷點後,右鍵選擇條件斷點,彈出條件記錄的設定框框,相關選項如下:
條件:為空就行了
說明:不用填
表示式記錄描述:dword ptr ds:[esp + 0x4]或者dword ptr ds:[[esp]]
解碼表示式為:指向ascii 字串的指標(你想輸出的格式選擇)
選:永遠 記錄表示式的值;
選: 從不暫停程式
這樣設定就能不斷的獲取當前斷點出esp 指向的值 和 esp + 4 指向的字串 。
缺點:od的條件記錄只能乙個斷點,列印乙個表示式,如果想要列印很多個記憶體字段,只能在前後幾行下條件記錄斷點;
三、0x32的條件記錄斷點
0x32 的條件記錄斷點要比od的強大。
0x32的乙個條件記錄斷點能列印出很多個記憶體字段,具體格式如下:
| | ...
對比od 的優勢: 能夠列印多個記憶體字段,格式隨意。
我們可以在日誌
x32下的DLL隱藏
原理主要就是peb 中模組斷鏈.這裡整理下 原理可以看下另一篇我寫的帖子.dllmain.cpp 定義 dll 應用程式的入口點。include stdafx.h include include typedef struct unicode string unicode string typedef...
od 的條件斷點學習心的
我只說步驟 假如你想在createfilea處,當filename c aaa bbb 1.txt 斷下程式 0384fe7c 0061742d call to createfilea from qqhelper.00617427 0384fe80 02e6a278 filename c aaa b...
使用條件斷點測試堆溢位的方法 STM32 GCC
下面是ubuntu16.04環境下,使用arm none eabi gcc編譯器,在stm32f427vit6上測試堆溢位的方法 1.測試 include void ptr 0 intmain free p p malloc 10240 return0 2.執行jlinkgdbserver和arm ...