4.9 使用debug跟踪exe程序执行过程

最新推荐文章于 2025-06-26 16:21:18 发布
原创 最新推荐文章于 2025-06-26 16:21:18 发布 · 5.9k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了Dos运行程序时,由command将程序从可执行文件加载入内存并执行。为解决无法查看程序执行过程的问题,可使用Debug加载程序且不放弃CPU控制。还分析了程序装入内存的位置,指出可从ds获取PSP段地址,进而得到程序物理地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

Dos在运行一个程序的时候,是由command将程序从可执行文件中加载入内存,并使其得以执行。这个过程我们无法追条指令地看到程序的执行过程,因为command的程序加载,设置CS:IP指向程序的入口的操作是连续完成的,而当CS:IP一指向程序的入口,command就放弃了CPU的控制权,CPU立即开始运行程序,直至程序结束

 

如果解决这样的矛盾,debug!

Debug可以将程序加载入内存,设置CS:IP指向该程序的入口,但Debug并不放弃对CPU的控制,这样我们就可以使用Debug的相关命令来单步执行程序,查看每一条指令的执行结果。

 

assume cs:abc

abc segment
start:    mov ax,2
    add ax,ax
    add ax,ax

    mov ax,4c00H
    int 21H
abc ends

end start

 

CX通用寄存器存放了程序的长度。1.exe中程序的机器码共有12个字节。则1.exe装载后,cx中的内容为000CH

 

程序被装入内存的什么地方?到哪查看它的内容?

 

exe文件中程序的加载过程

 

分析

1. 程序加载后,ds中存放着程序所在内存区的段地址,这个内存区的偏移地址为0,则程序所在的内存区的地址为ds:0;

2. 这个内存区的前面256个字节中存放的是PSP,DOS用来和程序进行通信。从256字节处向后的空间存放的是程序。

所以从ds中可以得到PSP的段地址SA,PSP的偏移地址是0,物理地址为SA*16+0

因为PSP占256字节,程序的物理地址为

SA*16+0+256=SA*16+16*16+0=(SA+16)*16+0

可用段地址和偏移地址表示为:SA+10H:0

所以在前面的图中,cs=075A,ds=076A

在执行完int 21指令后,cs的内容便取了一个其他的数值了,这是因为它调回了command.com程序(这里实际是DOSbox)了

 

 

Linux Kernel 之十 详解 PREEMPT_RT、Xenomai 的架构、源码、构建及使用
技术干货
01-14 791
现在的RTOS基本可以分为Linux阵营和非Linux阵营这两大阵营。非Linux阵营的各大RTOS都是独立发展,使用上也相对独立;而Linux阵营则有多种不同的实现方法来改造Linux以实现实时性要求。本文我们重点关注PREEMPT_RT以及Xenomai3和Xenomai4这两种实时Linux内核的实现方法
对话系统的基本概念、关键功能、演进方向和分类——如何实现对话系统所需的基本算法,包括如何构建对话管理器、自然语言理解器、自然语言生成器以及对话状态跟踪
AI天才研究院
08-03 1853
在信息时代,大规模多样化的用户对话意味着高度个性化、多层次、持续交互的需求。然而,现有的基于规则或模板的对话系统往往存在不足,无法满足这些需求。因此,需要引入能够灵活应对变化、具备适应性学习能力的对话系统。对话系统作为一种通用计算模型,不仅可以解决现有基于规则的对话系统面临的问题,还可用于创造新的对话服务及产品,提升人机互动效率,实现更高质量的生活。本文将讨论对话系统的基本概念、关键功能、演进方向和分类。
exe跟踪工具,查看exe调用dll
12-11
depends很好的EXE跟踪工具,可以看到EXE调用了哪些资源。
NET的EXE启动流程跟踪(流水账)
深海狂鲨
11-18 1102
无聊写的东西罢了,流水账一样的玩意,使用的是.NET Framework 4.0。 在OD选项中设置中断于系统断点,因为.NET程序一启动,加载mscoree后,mscoree立马执行CorExeMain,是不返回的,所以.NET的EXE文件的EP是永远不会被执行的,关键的东西全在CorExeMain中,所以我们需要在mscoree的任何代码都没执行的时候断下来。 在模块中找到mscore
【教程】使用Visual Studio debug exe和dll
最新发布
xianyinsuifeng的博客
06-26 1091
本文总结了调试 exe 和 dll 的实用方法。对于 exe 调试,介绍了远程(使用 VS Remote Tools)和本地两种方式,强调需确保 pdb 文件与程序版本一致。对于 dll 调试,详细说明直接复制法和资源路径加载法,包括如何设置断点、附加进程等关键步骤,并指出版本匹配的重要性。文中提供代码示例演示如何从自定义路径加载 dll,帮助开发者在不同场景下快速定位问题。
dos判断命令执行结果_程序执行过程跟踪
weixin_39564187的博客
11-29 764
前面,我们知道,在DOS操作系统中,有一个程序http://command.com,也就是DOS系统的shell.DOS中运行一个程序时,command将程序从可执行文件加载进内存,并使其得以运行. 但是这样我们不能逐条指令地看到程序的执行过程.为了观察程序的运行过程,可以使用Debug. Debug可以将程序加载入内存,设置CS:IP指向程序的入口,但Debug并不放弃对CPU的控制,这样,我...
程序执行过程跟踪:(用debug跟踪一个程序的运行过程) 整理总结
热门推荐
njutyangxiao的专栏
08-20 1万+
1.理由:在DOS中运行一个程序的时候,是由command将程序可执行文件中加载入内存, 并得以执行的。但是我们看不到程序逐步执行过程,因为command的程序加载和设置cs:IP指向程序的入口的操作是连续完成的,而当cs:ip一指向程序的入口,command就放弃了cpu的控制权,cpu立即开始执行程序,直到程序结束。 2.目的:为了观察程序的执行过程,可以使用DebugDebug可以把程序
spy++查找Windows下exe程序的窗口类和消息跟踪
11-19
支持查找Windows下exe程序的窗口类和消息跟踪, 然后根据名称可以使用jni操作程序按钮,自动化控制应用
apk manager 4.9 k7汉化版
11-10
2. log.txt、adblog.txt:这些是日志文件,记录了程序运行时的详细信息,如果在使用过程中遇到问题,可以通过查看这些文件来找出错误原因。 3. place-apk-here-for-modding:这是一个提示目录,意味着你需要将待修改...
轻松自定义APK修改工具:apk manager 4.9 k7汉化版
标题所提到的“apk manager 4.9 k7汉化版”是一个特定版本的Android应用程序包(APK)管理工具。APK是Android平台上应用的安装包格式,类似于Windows系统上的.exe文件。汉化版表明该软件已经被翻译成中文,方便中文...
gdb debug
10-26
- **断点**:在特定位置暂停程序执行。 - **观察点**:当某个表达式的值发生变化时暂停程序。 - **捕获点**:在特定异常发生时暂停程序。 以上概述了`gdb`的主要功能和使用方法,它是一个强大的调试工具,可以帮助...
windows exe执行文件监视器
04-21
对于需要监视的某个exe执行文件,确保它一直在运行,或宕掉后需要自动启动该进程,则可以通过进程监视器程序,实时监视该进程是否存在,不存在则进程监视器会将此进程启动。示例中用windows自带的画图作为监视进程,启动后,直接打开画图,如果关闭,或结束画图的进程,则还会自动打开,只要不关闭监视器,则画图就无法关闭
Debug.exe和DOSBox合辑
06-26
主要解决win8.1 64为环境下不能使用debug的问题
程序行为记录与跟踪
10-20
在安全网上逛的时候,突然发现一篇很好的文章!详细阐述了当前流行的api hook技术,rootkit技术和主动防御技术,涉及到深入的操作系统知识,需要一定的功底才能看懂,真的很不错,可以说是一篇难得的教程!现摘选如下: 一. 黑匣子的原理 对于一般用户而言,一个程序从开始运行直到结束,这期间内都做过什么,并不是我们需要关心的事情,他们只要听到播放器里的音乐、看到电影画面、和远方的朋友用通讯工具聊天就可以了,有谁会去关心从用户点击播放器程序图标到音乐响起的时间里,这个程序具体做了什么事情呢?然而,如果面对的程序是恶意软件之流,用户就不得不关心一下它到底对自己的计算机造成什么影响了。 程序在运行期间所进行的操作被称为“程序行为”(Action),一般泛指程序进行的相对表现较明显的操作,例如创建读写文件、访问注册表、连接网络等,而在这些操作之外做的程序内部运算、判断、逻辑等操作并不是我们需要关心的,除非是对它进行复杂的分析如逆向工程。对程序行为进行监视记录的过程就是“跟踪”(Tracing),如果要进一步深入,则要使用调试器(Debugger)环境进行汇编级的指令分析,这就是“调试”(Debugging),也可视为更全面的跟踪,因为调试过程可观察到整个程序里的运算和每一步过程。 也许很多用户会觉得,这些复杂技术距离我们很远,甚至会想像为需要复杂设备和程序才能完成,其实,这些技术的应用范围,一直就在我们身边。如果你正在使用一款防毒产品,那么你系统里执行的程序就已经处于被记录行为的状态了;如果你使用HIPS产品,就会更强烈的感受到程序运行被监视着;如果你正在使用调试器,那就不用我说了吧…… 在Windows系统里,至少有三种技术可以实现程序行为的记录,甚至控制程序的某些行为,分别是“虚拟机”(VM)、“API钩子”(API Hooking)和“API跟踪”(API Tracing)。 应用广泛的虚拟机技术 经常提到的虚拟机技术有两种,一种是普遍应用上的虚拟机技术,它是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,此类虚拟机的概念比较广泛,可以是一种使用软件模拟一个完整的计算机硬件环境技术如VMWare,也可以是介于硬件和编译程序之间的交互介质,如Java虚拟机等;另一种则是反病毒产品中使用的“通用解密器”技术,为了检测一些复杂或者代码加密的病毒,杀毒引擎必须让它运行起来以便自我暴露危险程序行为,但是如果病毒真的在用户计算机里运行了,就违背反病毒产品的初衷了,因此反病毒产品也采取了一种虚拟环境检测方法,这就是虚拟机技术,但是这个技术并非是为病毒提供一套计算机仿真系统,这样就太庞大复杂和消耗资源了,这种虚拟机是指杀毒引擎模拟出一个仿真CPU,这个“CPU”具备和真正CPU等同的指令分析功能,杀毒引擎将待检测的程序代码读入“CPU”中逐条指令循环执行,直到出现特定情况才结束工作,在这个过程中探知程序是否具备病毒行为特征或者暴露出病毒特征码。这就是杀毒引擎的“虚拟机技术”,它的目的就是让程序文件在没有实际运行的情况下得到运行后的结果。
WinTail windows 文件跟踪工具
03-09
WinTail 一个实时跟踪平文本变化的工具 tail -f
debug执行exe
mfmfmmf1的专栏
12-15 2284
debug执行exe 运行dosbox mount c k:\ c: debug 1.exe 此时 1.exe的内容被加载到内存中 位置是DS 或者说DS+10H :0  (10H 是十进制的16)  DS代表的是段地址 换算成字节要乘以16  所以10H的空间是 16*16=256字节 这256个字节的空间 叫PSP,是DOS用的 与程序本身没关系 不深究 程序正式开始的内存...
windows cmd指令记录、监听进程是否存在、exe注册到服务中开机后台运行
yuchunhai321的博客
12-08 1845
cmd指令 监听进程是否存在 exe注册到服务中
windows 下查看运行进程的命令行参数
AntHub的博客
06-10 6529
wmic process where caption="WXDrive.exe" get caption,commandline /value
debug.exe
{竹子}
06-20 3293
一、前言 debug.exe 是dos用于调试汇编语言的工具,可用于查看内存情况,查看内存中的数据(指令) 命令使用格式: DEBUG [路径\文件名] [参数1] [参数2] debug运行成功显示:“-” 如下图示: 二、命令介绍 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值