OD调试器断点——内存断点

最新推荐文章于 2021-04-27 15:07:29 发布
最新推荐文章于 2021-04-27 15:07:29 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: # 调试器 文章标签: 动态调试 OD OllyDbg 断点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Onlyone_1314/article/details/115587887
版权

在这里插入图片描述我们选择Whole line拷贝整行,Whole Table可以拷贝整个列表的断点信息。

Breakpoints, item 0
 Address=00401018
 Module=CRACKME
 Active=Always
 Disassembly=OR EAX,EAX

拷贝下来的信息显示了断点的地址,对应的指令以及激活状态。

程序中断在断点处会在状态栏显示暂停状态。

在这里插入图片描述

暂停的原因如下:
在这里插入图片描述
接下来我们来了解一下当设置一个断点以后,OD调试器在底层二进制代码是如何将程序中断的,会发生什么变化。
单击鼠标右键选择-Follow in Dump-Selection
在这里插入图片描述

我们看看数据窗口中401018地址处的内容:

在这里插入图片描述

我们初看一下数据窗口中的内容和反汇编代码中代码是一样的:
在这里插入图片描述

数据窗口和反汇编代码中我们看到的都是0B C0,对应的是OR EAX,EAX。似乎代码没有什么变化,但是真的没有变化吗?

我们保留401018处的断点,重新加载CrackMe。
在这里插入图片描述

我们将OR EAX,EAX对应的机器代码读取出来然后写到别处。
在这里插入图片描述

该指令将401018地址处的双字值保存到EAX中,我们看看OD的提示框中提示的信息。
在这里插入图片描述

在数据窗口中和提示框中显示的都是相同的内容:0B C0。但是,我们按下F7键看看EAX显示的内容。
在这里插入图片描述

读出来的401018处的内容并不是OD刚刚显示的0B C0 74 01(小端存储),按双字取出来是0174C00B,而现在显示的是0174C0CC,因此401018处字节值是CC。当我们设置断点后,OD会将对应指令处第一个字节指令替换成CC。但是为了不影响界面显示效果,OD会将CC显示为原字节。但是,我们可以在内存单元中读取出其真实的内容,并且可以在反调试中用此方法来检测断点。所以,我们设置的断点有时候莫名其妙的消失了不要感到奇怪,或许说这是调试器的本身的弱点吧。

除了F2设置断点以外,我们还可以通过命令栏来设置断点,如下:

BP 401018

在这里插入图片描述

在NT(2000,XP和2003)系统中我们也可以很容易的给API函数设置断点-我们前面章节中已经介绍过了。要给MessageBoxA设置断点,请输入:
在这里插入图片描述

并且你必须指定API函数的确切名称,而且大小写敏感。
在这里插入图片描述

还有一个比BP更加强大的命令BPX可以给引用或者调用了指定API函数的指令都下断点。

下面是BPX给MessageBoxA设置的断点列表。正如你所看到的,OD找到了3处地方调用MessageBoxA,并设置了3个断点。
在这里插入图片描述

还有一种设置断点的方法:在反汇编窗口中你想设置断点的那一行双击机器码即可。如果想删除的话,再双击一次即可。
在这里插入图片描述

OD内存断点初步分析
BenChang的专栏
04-26 5237
通过ida静态分析和od动态分析od程序,初步了解内存断点的机制
OD-常见断点设置
青月的成长记录吖
03-21 1969
后者也是很常见的,他一般把用户输入的注册码直接或者是通过加密运算后得到的数值保存到文件、注册表中,然后提示用户重启验证是否注册,当然当你重新打开程序的时候他会从文件或者是注册表中读取用户输入的注册码,再通过程序注册算法来进行比照,正确者当然就成为正版,错误的自然就88了,另外以重启验证的软件一般是把注册码保存在注册表或文件中!跟踪时按ALT+F3、ALT+F4、ALT+F5键(分别对应VB3、VB4、VB5程序),搜寻成功后你将得到一个地址30:?,然后设置断点"bpx 30:?第二种是放在文件里。
OD内存断点
dasgk的专栏
07-05 1458
内存断点原理:OD会对所设置地址设置为可访问或者可写属性,这样挡程序试图访问或者写入时就会产生异常,OD在截获这种异常后比较地址是否是设置的断点地址,这种 方式会对程序的运行速度有很大的影响,所以只允许设置一个内存断点,但是在找到内存断点后可以使用一般的断点(这个是可以设置无数个的)进行调试内存断点一般用在跟踪关键数据的断点,根据这个特点在破解跟踪时只要在关键数据内存当中下断点,就可以
[转]对抗OD内存断点
weixin_34295316的博客
05-03 142
标 题:【原创】对抗OD内存断点作 者:堕落天才时 间:2007-09-28,21:08:51链 接:http://bbs.pediy.com/showthread.php?t=52503 1,OD内存断点原理A,内存访问断点OD将目标内存所在的页面(范围圆整为1000h的倍数)设置为PAGE_NOACCESS,当被调试程序对这个内存进行任何“读、写或运行”操...
OD 内存断点和硬件断点 小结
期待下集是个可爱梦儿
02-23 1942
0040EE67      90                 nop                              //假设此处为EIP 0040EE68      90                 nop0040EE69      90                 nop0040EE6A      A0 C4FF1200        mov     al, byte ptr [12FFC4]0040EE6F      90                 nop0040EE70
OD 内存硬件条件断点OD
09-05
OD 内存硬件条件断点OD 可以设置当内存为指定值时断下
OD调试器源码
09-18
OD调试器源码是调试工具领域的一个重要话题,尤其对于软件开发者和逆向工程师来说,理解并学习ODOllyDbg调试器的源码能够深入掌握底层调试技术,提高解决问题的能力。OllyDbg是一款流行的x86汇编级别的调试器,...
大神写的OD调试器成品
09-18
OD调试器,全称OllyDbg,是Windows平台下的一款知名反汇编调试器,由Pavel Yosifovich开发。它以其强大的调试功能、直观的用户界面以及对汇编语言的良好支持,在逆向工程和软件调试领域享有盛誉。"大神写的OD调试器...
5.为什么用VT调试器来代替OD调试器1.rar
10-20
为什么用VT调试器来代替OD调试器1.rar"这个压缩包文件的主题聚焦于使用VT(可能是指Visual Studio或Vtune等高级调试器)来替代ODOllyDbg调试器OD是经典的反汇编和调试工具,而VT则是更为现代化和功能强大的...
2.VT调试器之无限硬件断点.rar
10-20
无限硬件断点的功能实现可能依赖于调试器的底层技术,包括对硬件接口的深入理解和优化的内存管理策略。它可能涉及到对调试器内核的扩展,以及与CPU的调试接口(如Intel的DBI,Debugging Extensions)的紧密交互。...
OllyDBG 入门系列(四)-内存断点
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
OD的几个断点
longfan的博客
08-08 630
OD从原理上来说,有两种同的断点,软件断点,硬件断点内存断点是一种特殊的内存断点内存断点呢,每次只能设置一个,假如你设置一个断点,则上一个会自动被删除。设置一个内存断点,会改变整块(4K,1K=1024字节)内存的属性,哪怕你只设置一个字节的内存断点内存断点还会降低OD的性能,因为OD会校对内存。 软件断点:当我们F2的断点, 该断点是在断点出重写代码,插入int3中断指令...
od的各种断点
zzx的博客
01-25 1404
od中有许多断点,cc断点,硬件断点内存断点,消息断点。 最常用的是cc断点,也就是f2设置的断点,这种断点的好处是可以直接看到所设断点的位置,通过alt+b来查看,非常方便调试,他的原理是od将原本的数据改为cc,然后在运行的过程中,遇到cc即停止,然后修改为原来的数据,这种断点的缺陷是可以被检测到。 硬件断点,硬件断点的原理是由cpu实现的,cpu中有四个寄存器,这四个寄存器刚好对应od
OD无法下断点
Sven的忘却日记
01-04 2182
提示 “无法在断点(可能无效)地址XXXXXXXX 读取寄存器以及更新EIP” 点确定后就崩溃了,查看崩溃模块发现是E_Junk_Code.dll这个插件导致的 将插件删除后,OD崩溃了,但还是出现那个错误弹窗。 把所有插件都删掉就好了。。 ...
OD断点设置
LDWJ2016的博客
09-25 5148
OD 常用的断点有: INT3断点,硬件断点内存断点,消息断点,条件断点。 一. INT3断点      1. 在CPU窗口,按F2 或 双击 “ Hex dump”列设置一个INT3断点,再次按F2或双击 “Hex dump”则取消已经设置的 INT3断点。       说明:如果将断点设置到当前应用程序代码之外,OD会弹出警告,可在“Options/Debuggging options/...
全面解析OD各类断点
lambda
04-27 3952
1 INT 3断点 当执行一个INT3断点时,该地址处的内容被调试器用INT 3指令替换了(但是OD隐藏了这个替换,让我们看到),因其机器码是0xCC,也称为“CC断点”。程序执行到INT 3指令时会导致一个异常,OD捕获这个异常,停在断点处,并将断点处的指令恢复为原来的指令。“F2”或bp设置的就是这种断点。 特点:会断在该指令执行前。 优点:可以设置无数个这样的断点。 缺点:改变了原程序机器码,可能被程序校验导致下断后程序退出。 2 硬件断点 使用DR0-DR3调试寄存器设定断点地址,DR4和DR
OD调试常见断点及原理
热门推荐
王二娃的生活的博客
09-28 1万+
OD调试时,常见的断点有int3、硬件断点内存断点、消息断点、条件断点、条件记录断点等1、int 3断点原理:改变断点地址处的第一个字节为CC指令,在OD显示 缺点:容易被检测到,如检测MessageBoxA处CC断点 优点:可以设置无数个 OD快捷键F2就是利用这个特性FARPROC Uaddr; BYTE Mark = 0; (FARPROC&)Uaddr=GetProcAddres
记两次OD调试的过程,OD断点无效的解决过程
任尔东西南北风
03-21 3769
问题 在使用ODOllyDbg)的过程中,我们可以使用断点开进行反汇编代码的暂停执行,通常在调试自己代码的时候我们会使用搜索expresion的方式来在特定代码处下断点,但是有时候我们成功在所谓有效的expression处下了断点之后执行代码,代码却没有暂停,直接运行到程序结束。这是为什么呢。 注:expression在这里表示一个可以被OD检测到的函数 答案 这是因为我们的代码在编译的过程中,...
od结构体大小_od内存断点的探析和检测方法
weixin_39756895的博客
12-21 293
作为一款流行的动态OD 的成功离断点。可以说,断点成就了 OD难想象,如果在调试过程中,下的断点全部失效了,那么 OD 就武功全废了。在前面的文章里,我曾介绍 OD有三大断点:int3断点、硬件断点内存断点。关于前面两种断点,我已经写过检测方法,今天就来分析一下,内存断点的检测方法。要检测,首先,我们要了解内存断点的原理。知己知彼才能百战百胜,所以,我们还是从逆向 OD着手。OD通过调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值