Domanda:
Debug di EXE con TLS
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

Come eseguo il debug di un eseguibile che utilizza callback TLS? Mi risulta che questi vengano eseguiti prima che il mio debugger si colleghi.

L'Internet Storm Center ha una buona [scrivi] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) su come puoi farlo.
Due risposte:
#1
+8
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

o :

  • applicare una patch a un'interruzione di debug (CC int3) o un ciclo infinito (EB FE jmp $) all'inizio del TLS
  • provare a impostare un punto di interruzione il prima possibile (come Opzioni / Eventi / Fai la prima pausa su / Punto di interruzione di sistema di OllyDbg), quindi imposta un punto di interruzione all'inizio del TLS
  • usa un plug-in specifico, come OllyAdvanced per OllyDbg.

Nota che le condizioni per l'esecuzione di TLS sono complicate e il debug potrebbe causare l'esecuzione di un TLS altrimenti ignorato.

#2
+1
LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

Se stai usando IDA Pro, Ctrl-E (scorciatoia di Windows https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) mostrerà il tuo punto di ingresso. Puoi passare direttamente alla funzione principale / avvio.

Igor è probabilmente meglio equipaggiato per commentare questo, ma TLS è stato uno dei punti deboli di IDA ad un certo punto.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...