eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 октября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: tromb190 (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› Использование WinDbg
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
Посл.ответ Сообщение


Ранг: 303.8 (мудрец)
Статус: Участник

Создано: 2 марта 2011 12:29 · Поправил: DenCoder New!
Цитата · Личное сообщение · #1

Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

| Сообщение посчитали полезным: stereo2013


Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 09:16 · Поправил: AE New!
Цитата · Личное сообщение · #2

plutos пишет:
x64dbg

Только у него мааааленькая проблемка существует:

Fine-grained memory breakpoint. Unlike other debuggers, memory breakpoint is supported only on a whole memory page, but not on a subrange of the memory page.


Ранг: 521.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 сентября 2019 10:09 · Поправил: plutos New!
Цитата · Личное сообщение · #3

AE пишет:
Только у него мааааленькая проблемка существует:


Да, есть такая беда. И наверняка не только эта.
Ну и что с того? я что, утверждал, что это какое-то совершенное чудо? The ULTIMATE DEBUGGER?
Никто и не говорит, что это идеальный и навсегда законченый tool, да таких и на свете нет.
Как вам наверное известно это open-source проэкт, который все еще находится в стадии развития и постоянно совершенствуется.
Bы можете помочь авторам устранить выявленые вами недоработки.

| Сообщение посчитали полезным: AE


Ранг: 5.6 (гость)
Статус: Участник

Создано: 26 сентября 2019 10:31 New!
Цитата · Личное сообщение · #4

plutos пишет:
Bы можете помочь авторам устранить выявленные вами недоработки.

Я бы с радостью это сделал, но до этого еще дорасти надо, а пока можно попользоваться плагином миграции (OllyMigrate), вроде эту проблему можно обойти с его помощью...
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 .
 eXeL@B —› Софт, инструменты —› Использование WinDbg

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS