Question:
Débogage EXE avec TLS
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

Comment déboguer un exécutable qui utilise des rappels TLS? Je crois comprendre que ceux-ci s'exécutent avant que mon débogueur ne s'associe.

L'Internet Storm Center a une très bonne [rédaction] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) de la façon dont vous pouvez le faire.
Deux réponses:
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

soit :

  • corrige une rupture de débogage (CC int3) ou une boucle infinie (EB FE jmp $) au début du TLS
  • essayez de définir un point d'arrêt le plus tôt possible (comme Options / Events / Make first pause at / System Breakpoint), puis définissez un point d'arrêt au début du TLS
  • utilisez un plugin spécifique, tel que OllyAdvanced pour OllyDbg.

Notez que les conditions d'exécution de TLS sont délicates et que le débogage peut entraîner l'exécution d'un TLS autrement ignoré.

LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

Si vous utilisez IDA Pro, Ctrl-E (raccourci Windows https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) il affichera votre point d'entrée. Vous pouvez accéder directement à la fonction principale / démarrer.

Igor est probablement mieux armé pour commenter cela, mais TLS a été l'une des faiblesses de l'IDA à un moment donné.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...