Soru:
TLS ile EXE hatalarını ayıklama
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

TLS geri aramalarını kullanan bir yürütülebilir dosyada nasıl hata ayıklayabilirim? Anladığım kadarıyla bunlar, hata ayıklayıcım eklenmeden önce çalıştırılıyor.

İnternet Fırtına Merkezinde bunu nasıl yapabileceğiniz konusunda oldukça iyi bir [yazın] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) var.
Iki yanıtlar:
#1
+8
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

e:

  • TLS'nin başlangıcında bir hata ayıklama molasını (CC int3) veya sonsuz döngüyü (EB FE jmp $) yama
  • bir kesme noktasını olabildiğince erken (OllyDbg'nin Options / Events / Make first pause at / System Breakpoint gibi), ardından TLS'nin başlangıcında bir kesme noktası ayarlayın
  • OllyDbg için OllyAdvanced gibi belirli bir eklenti kullanın.

TLS yürütme koşullarının karmaşık olduğunu ve hata ayıklamanın, aksi takdirde yok sayılmış bir TLS'nin yürütülmesine neden olabileceğini unutmayın.

#2
+1
LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

IDA Pro kullanıyorsanız, Ctrl-E (Windows kısayolu https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) görünecektir giriş noktanız. Doğrudan Ana / başlangıç ​​işlevine geçebilirsiniz.

Igor muhtemelen bu konuda yorum yapmak için daha donanımlıdır, ancak TLS bir noktada IDA'nın zayıf yönlerinden biriydi.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...