TraceMe---消息断点+Run跟踪

最新推荐文章于 2021-03-17 01:09:11 发布
转载 最新推荐文章于 2021-03-17 01:09:11 发布 · 857 阅读 · 0

本文通过实例演示如何利用消息断点结合Run跟踪技术进行软件逆向分析,重点介绍了设置消息断点的方法及Run跟踪的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

【文章作者】: Gall
【作者主页】: http://hi.baidu.com/8ohack
【操作平台】: WindowsXP
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  很多新手朋友在这个问题上疑惑重重,今天以TraceMe.exe【加密与解密 第三版---调试片】为例说明一下消息断点+Run跟踪的使用.
  如果大家不知道消息机制的话,建议好好看看【罗云彬版Win32汇编】,当你熟练掌握里面提到的窗口编程时,消息机制的学习就没甚问题了!
 
  ollydbg载入TraceMe.exe,F9运行程序,输入下面的信息.但是不要点那个"Check"按钮.
  【用户名】:Gall_pediy
  【序列号】:123456
 
 
【第一部分:消息断点的设置】
  1.选择View>>Windows,右键选择Actualize,显示下面的信息
  Windows
  Handle         Title                             Parent     WinProc    ID             Style              ExtStyle       Thread     ClsProc        Class
0010028C TraceMe 动态分析技术 Topmost                     021D00C5 94CE0844    00010100     Main       77D3E577     #32770
  K00090264      Default IME           0010028C                                                         8C000000     Main       77D6C930   IME
  IE001201F6     M                           00090264                                                         8C000000     Main       FFFF02E3   MSCTFIME UI
  K000B028A                                   0010028C                    FFFFFFFF   50000007  00000004    Main       77D3B036   Button
  K000C027E      Exit                       0010028C                   000003EA   50010000   00020004    Main       77D3B036   Button
  K000E01FA      ?                           0010028C                   000003F6   50010000   00020004    Main       77D3B036   Button
  K000E01FC      www.PEDIY.com  0010028C                   000003F8   58020001   00000004    Main       77D3E5BB   Static
  K000E0238                                    0010028C                   000003E8   50030080   00000204    Main       77D3B3EC   Edit
  K000E0278                                    0010028C                   0000006E   50030080   00000204    Main       77D3B3EC   Edit
  K0015023C      Check                    0010028C                   000003F5   50010000   00020004    Main       77D3B036   Button
  K001B0234      序列号:                   0010028C                   FFFFFFFF   50000007   00000004   Main       77D3B036   Button
  E001D026E      用户名:                   0010028C                  FFFFFFFF   50000007   00000004   Main       77D3B036   Button
 
  我们这里的消息断点对象就是Check按钮,
  在Check处右键,选择Message breakpoint on ClassProc,在出现的新窗口中选择消息"202 WM_LBUTTONUP",意思就是对Check按钮下断点,当按下按钮,然后松开时,就被断下来.
 
  到此为止,消息断点的设置完成了,
  这个时候我们可以点击那个Check按钮.在下面的位置被断下来.
 
  77D3B036 >  8BFF            mov     edi, edi                         ; 在此处被断下
  77D3B038    55                  push    ebp
  77D3B039    8BEC            mov     ebp, esp
  77D3B03B    8B4D 08        mov     ecx, dword ptr [ebp+8]
 
 
  2.返回到程序的领空
  然后选择View>>Memory,程序的关键信息如下:
  003F0000   0000E000                                       Map    RW        RW
  00400000   00001000   TraceMe               PE header     Imag   R         RWE
  00401000   00003000   TraceMe    .text      code          Imag   R         RWE
  00404000   00001000   TraceMe    .rdata     imports       Imag   R         RWE
  00405000   00001000   TraceMe    .data      data          Imag   R         RWE
  00406000   00001000   TraceMe    .rsrc      resources     Imag   R         RWE
 
  我们在00401000处设置断点,设置完断点后F9运行程序,程序庭在下面的位置
  004010D0   .  81EC F4000000 sub     esp, 0F4                         ;  程序停在这里【返回到程序领空是的位置】
  004010D6   .  56            push    esi
  004010D7   .  57            push    edi
  004010D8   .  B9 05000000   mov     ecx, 5
  004010DD   .  BE 60504000   mov     esi, 00405060
  004010E2   .  8D7C24 18     lea     edi, dword ptr [esp+18]
 
  接下来就是Run跟踪
 
 
 
  【第二部分:Run跟踪】
  1》分析代码
 
  接着上面的操作,程序此时停在004010D0这里,在Run跟踪钱,我们需要分析一下代码,快捷键是Ctrl+A【很多朋友无法Run跟踪,问题就在这里】
  -------------------------------------------------------------------------------
 
 
  2》 Run跟踪的大小设置
 
  选择Options>>Trace,设置大小为1M/45K
  其他的选项根据自己的要求设置.【按照自己的要求设置】
  -------------------------------------------------------------------------------
 
 
 
  3》 开始Run跟踪
  1.选择Debug>>Open or clear run trace,
  2.然后在004010D0右键,选择Run trace>>Add entries of all procudures
  3.F9运行程序,然后点击View>>Run trace查看跟踪记录,
  4.在记录处右键Profile module
 
  Profile of TraceMe
  Count      Address    First command                     Comment
  1.         004010D0   sub     esp, 0F4
  1.         00401340   push    ebp
  1.         00401360   xor     edx, edx
 
  双击00401360将来到关键位置.其他的分析打击自己完成吧
  ------------------------------------------------------------------------------
 
--------------------------------------------------------------------------------
【经验总结】
  消息断点+RUN跟踪
  【思路】
            1. 按钮按下后,系统会处理对应的消息WM_LBUTTONUP,这个时候被断下,程序挺在系统领空
            2  系统领空返回到程序领空,在刚进入程序领空时停下
            3  从程序领空停下的位置,开始记录
            4  分析记录,得到关键信息
 
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2010年08月05日 21:17:06

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
GDB调试技巧实战--chatGPT辅助考察strace原理
最新发布
深山老宅的虚拟空间
01-04 1438
GDB调试技巧实战--chatGPT辅助考察strace原理
OllyDBG 入门系列(五)-消息断点RUN 跟踪
07-15
OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
消息断点 RUN跟踪
weixin_30240349的博客
11-25 118
学习与 看雪上 看雪上比较详细 但在另一地方也看到 : http://hi.baidu.com/xx375/item/8e86710d41b3a63e4bc4a36e http://hi.baidu.com/xx375/item/f7b3f331edb396413175a16e 转...
OllyDBG 入门系统(六) - 消息断点RUN跟踪补充
Jackxin Xu IT技术专栏
06-06 4349
<br />看完了《OllyDBG 入门系统(五)-消息断点及 RUN 跟踪》之后感觉如何?会否有如下问题:<br />1、  是否觉得不知道在哪下断?<br />2、  为什么要这样子下断?<br />3、  如何确定断下来后的位置就是正确的?<br /><br />好,就本着这几个问题来分析一遍。<br /><br />首先,先回顾下Windows的消息机制。要点:所有要处理的消息必然会由程序自己处理,不处理的消息都交由Windows处理。Windows的消息处理函数的格式,如下:<br />LRESU
代码调试跟踪与优化(一)--- 如何用GDB 调试代码?
流云
03-17 4850
我们在开发软件时,免不了引入一些Bug,这就需要借助各种调试跟踪工具,通过查看当前的执行指令、内存数据、运行日志等信息,分析出产生bug 的可能原因,并给出解决方案。本文主要以GDB 为例,简单介绍GDB 的调试原理是怎样的?GDB 常用的调试命令有哪些?GDB 如何配合VSCode实现可视化调试?GDB 远程调试是如何实现的?
180705 逆向-Linux的逆向
whklhhhh的博客
07-12 1597
常用工具和命令 nm 列出目标文件的所有符号 objdump -d参数表示反编译.text段中的程序代码 readelf 查看ELF文件的各种信息 IDA gdb IDA 与PE程序基本类似,将ELF程序拖入IDA也可以快速的反汇编,主要借助hex-ray插件来反编译出可读性较高的伪代码 实验-passwd_generator trick patch dynam...
[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6576
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
逆向分析基础 OllyDBG 入门系列(五)-消息断点RUN 跟踪
05-09
逆向分析基础 OllyDBG 入门系列(五)-消息断点RUN 跟踪
TraceMe.exe
07-02
TraceMe.exe 动态分析技术
od粗跟踪run跟踪
期待下集是个可爱梦儿
03-11 1837
<br />一、单步进入(F7)遇见CALL就进!进入该子程!行话:"跟进去"<br />单步跳过(F8)遇见CALL不进去!不去管子程的内部!第一次粗跟的时候常用!<br />执行到返回(ALT+F9)就是执行到该子程的返回语句!<br />单步执行与自动执行[Step-by-stepexecutionandanimation]<br />您可以通过按F7(单步步入)或F8(单步步过),对程序进行单步调试。这两个单步执行操作的主要区别在于:如果当前的命令是一个子函数,按F7,将会进入子函数,并停在子函数的
Ollydbg hit跟踪Run 跟踪
kendyhj9999的专栏
06-18 2806
Ollydbg hit跟踪   【添加选择部分】选项 就是用鼠标框选一段代码,运行程序后,在被选中的代码中,运行过的会被标记成红色   【添加函数过程】选项 就是鼠标光标落在其中的那个函数的代码会被选中,在被选中的代码中,运行过的会被标记成红色。   【添加所有已识别函数过程】选项  就是所有识别的函数的代码会被选中,在被选中的代码中,运行过的会被标记     Ol
CVE-2019-13272
08-23
这个函数在Linux执行PTRACE_TRACEME函数时,会获得对父进程凭据的RCU引用,并将该引用指向get_cred函数。然而,由于struct cred对象的生存周期规则,不允许无条件地将RCU引用转换为稳定引用。这个漏洞可以被利用来以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值