OllyDbg跟踪记录插件 -- prince's TracKid V1.20(升级) 测试发布
按照Luocong大侠的指点,使用OD自己的API获取中断地址EIP解决了上个版本地址错误的问题(仅在XP SP2下测试通过),看来OD自己对异常地址进行了处理。多谢Luocong大侠。暂时还没有在98和2K系统下测试,希望得到朋友们在这两个平台下的结果反馈,谢谢。
修整文件记录F9分隔行没有回车换行的BUG。
任何问题请致:Cracker_prince@163.com, QQ: 812937
prince 2005.03.01
---------------------------------------------------------------------------------------------------------------------------
OllyDbg跟踪记录插件 -- prince's TracKid V1.10(beta) 测试发布
相信广大小菜们都有这样的调试经验:F8, F8, F7, F8, 几步走来,突然程序跟飞了!又要重新来,麻烦。考虑到这种情况,利用空余写了记录跟踪过程的小插件,希望在调试的时候帮上点小忙。
原理:调试时对F4, F7, F8, F9进行键盘监视,每次利用快捷键调试时都会被TracKid记录到文件中,以备事后查看。
使用方法:加载程序,点击插件->Start Tracking,然后即可进行正常跟踪。结束跟踪点击插件->End Tracking。注意,由于使用键盘监视方式,所以只能使用快捷键F4, F7, F8, F9进行跟踪才能进行记录。TracKid会在OllyDbg.exe目录下新建TracKid Log文件夹,里面存放程序的调试记录,调试完可以到TracKid目录下查看相应的文件。
存在的问题:TracKid通过GetThreadContext函数获取被调试程序的线程环境CONTEXT结构,该结构中的Eip存放的就是异常发生的地址。在98系统下CONTEXT结构的EIP值为发生异常地址+1,可是在2000下我得到的结果不全是这样,例如,某程序调试记录:
0041f3f4 -- F8 ---> 在OD中为0041f3f3
0041f3f5 -- F8
0041f3f7 -- F8
0041f40d -- F8
0041f40e -- F8
0041f415 -- F8 ---> 在OD中为0041f414
0041f416 -- F8
0041f421 -- F8
0041f424 -- F8
0041f42c -- F8
0041f42f -- F8
0041f435 -- F8
0041f436 -- F8
77f97b1d -- F9
-------------------------
所以如果大家在记录中发现错误的地址,可以将该地址-1之后再下断点即可。
小弟不才,不知道该如何解决这个问题,烦恼之极,如有哪位大侠知道,还请不吝赐教,多谢。
声明:由于采用了键盘监视技术,所以您的杀毒软件或类似安全工具可能会报警说OllyDbg正在监视键盘输入,本人没有在插件中放置任何恶意代码,如有疑问,请勿使用。
任何问题可致:Cracker_prince@163.com, QQ: 812937
prince 2005.02.27
升级文件V1.20(上个版本请版主删除):
附件:TracKid.rar
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法