TLS ile EXE hatalarını ayıklama

Soru:

mrduclaw

2013-03-30 08:08:00 UTC

view on stackexchange narkive permalink

TLS geri aramalarını kullanan bir yürütülebilir dosyada nasıl hata ayıklayabilirim? Anladığım kadarıyla bunlar, hata ayıklayıcım eklenmeden önce çalıştırılıyor.

İnternet Fırtına Merkezinde bunu nasıl yapabileceğiniz konusunda oldukça iyi bir [yazın] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) var.

Iki yanıtlar:

Ange

2013-03-30 16:46:44 UTC

view on stackexchange narkive permalink

TLS'nin başlangıcında bir hata ayıklama molasını (CC int3) veya sonsuz döngüyü (EB FE jmp $) yama
bir kesme noktasını olabildiğince erken (OllyDbg'nin Options / Events / Make first pause at / System Breakpoint gibi), ardından TLS'nin başlangıcında bir kesme noktası ayarlayın
OllyDbg için OllyAdvanced gibi belirli bir eklenti kullanın.

TLS yürütme koşullarının karmaşık olduğunu ve hata ayıklamanın, aksi takdirde yok sayılmış bir TLS'nin yürütülmesine neden olabileceğini unutmayın.

LuckyB56

2013-04-02 18:22:02 UTC

view on stackexchange narkive permalink

IDA Pro kullanıyorsanız, Ctrl-E (Windows kısayolu https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) görünecektir giriş noktanız. Doğrudan Ana / başlangıç işlevine geçebilirsiniz.

Igor muhtemelen bu konuda yorum yapmak için daha donanımlıdır, ancak TLS bir noktada IDA'nın zayıf yönlerinden biriydi.

ⓘ

Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.

about - legalese