[原创]利用windbg脚本调试简单实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]利用windbg脚本调试简单实例

发表于: 2011-11-15 22:13 23915

[原创]利用windbg脚本调试简单实例

levizhou

2011-11-15 22:13

23915

之前想写一篇用windbg脚本调试的东西,但是一直比较懒,懒得动手,懒得想例子,把时间都放在了游戏上面,所以想法虽好一直没有实施...
这次写一个非常简单的利用windbg脚本进行动态调试的小文,博君一笑.
// Windbgscript.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"

#include <iostream>
using namespace std;


int ret100()
{
  [B]int x = 2;[/B]  //2-3
  x*=33;
  ++x;

  return x;
}

int add(int x, int y)
{
  [B]x = 0;[/B] //多余的
  return x+y;

}


int _tmain(int argc, _TCHAR* argv[])
{

  int x = 100;

  int y = add( x, ret100());

  cout << y;

  getchar();
  return 0;
}

0:001> uf windbgscript!ret100
   11 00401000 55              push    ebp
   11 00401001 8bec            mov     ebp,esp
   11 00401003 51              push    ecx
 [B]  12 00401004 c745fc02000000  mov     dword ptr [ebp-4],2
   [U]13 0040100b 8b45fc          mov     eax,dword ptr [ebp-4][/U][/B]
   13 0040100e 6bc021          imul    eax,eax,21h
   13 00401011 8945fc          mov     dword ptr [ebp-4],eax
   14 00401014 8b4dfc          mov     ecx,dword ptr [ebp-4]
   14 00401017 83c101          add     ecx,1
   14 0040101a 894dfc          mov     dword ptr [ebp-4],ecx
   16 0040101d 8b45fc          mov     eax,dword ptr [ebp-4]
   17 00401020 8be5            mov     esp,ebp
   17 00401022 5d              pop     ebp
   17 00401023 c3              ret

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

67.jpg （7.44kb，1100次下载）
200.jpg （7.23kb，1096次下载）

收藏・17

免费・6

支持

最新回复 (18)
email123 雪币： 15203 活跃值： (4155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 2 楼不错，又学了一招，希望楼主多出这样简单易懂的文章！谢谢了 2011-11-15 22:49 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 3 楼这种太简单了，lz整下字符串的匹配吧，多字节编码和unicode编码，大小写敏感，子串匹配，自由组合。当然自己写插件就简单了。 2011-11-15 23:36 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 4 楼对，这个确实非常简单因为我觉得写的简单点儿比较容易被接受，太复杂了就不是教程贴了 2011-11-16 09:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼厉害啊。来点实战的吧 2011-11-16 11:59 0
柳州小林雪币： 1596 活跃值： (30) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 6 楼不错不错,以后修改多个跳转就方便了 2011-11-22 10:00 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼看看。。：） 2011-11-24 15:35 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 8 楼 THX 来点内核脚本调试范例如何？ 2011-11-24 16:32 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 9 楼实在不好意思，对内核调试的东西一无所知啊 2011-11-24 17:30 0
殁十一雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	殁十一 10 楼看看 2011-11-26 00:15 0
hash 雪币： 104 活跃值： (72) 能力值： ( LV2，RANK：15 ) 在线值：发帖 14 回帖 45 粉丝 0 关注私信	hash 11 楼 int add(int x, int y) { x = 0; //多余的 return x+y; } 脑子里以为 x= 0 这条指令会在栈中开辟空间，怎么是从参数传了。因为是函数内部局部变量，我还以为是 mov DWORD PTR [ebp-4],0 呢。求指点 2011-11-28 19:11 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 12 楼 [QUOTE=hash;1024496]int add(int x, int y) { x = 0; //多余的 return x+y; } 脑子里以为 x= 0 这条指令会在栈中开辟空间，怎么是从参数传了。因为是函数内部局部变量，我还以为是 mov DWORD PTR [ebp-4],0 呢。求指点[/QUOTE] 首先x会在栈中有位置 -- 参数位置其次，栈是逆向生长的，所以定位参数需要 ebp+？最后，默认压栈次序为倒序，再加上eip会占一个位置，然后 y，最后 x 所以x 在栈上的位置： ebp+8 2011-11-29 19:41 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 13 楼谢谢楼主分享！ 2012-2-4 19:47 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 14 楼感谢分享。。。 2012-2-8 10:53 0
lactor 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	lactor 15 楼顶，学习了。 2012-2-13 17:26 0
cosmoer 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	cosmoer 16 楼代码: bp windbgscript!add + 0x03 " r @eip = @eip+0xa; $$ @符号会让脚本解释程序认为后面跟随的名称代表为寄存器，节省查找时间，提高效率 gc; " 请问，为什么是+0xa，而不是+0x7？ 2012-5-23 15:30 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 17 楼应该是0x7，可能我当时打错字了；我那里有存根回去看下修正多谢细心指出 2012-5-24 08:57 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 18 楼 windbgscript!main [e:\workspace\windbgscript\windbgscript.cpp @ 28]: 28 00401050 55 push ebp 28 00401051 8bec mov ebp,esp 28 00401053 83ec0c sub esp,0Ch 30 00401056 c745f864000000 mov dword ptr [ebp-8],64h 32 0040105d e89effffff call windbgscript!ret100 (00401000) 32 00401062 50 push eax 32 00401063 8b45f8 mov eax,dword ptr [ebp-8] 32 00401066 50 push eax 32 00401067 e8c4ffffff call windbgscript!add (00401030) 32 0040106c 83c408 add esp,8 32 0040106f 8945fc mov dword ptr [ebp-4],eax 34 00401072 8b4dfc mov ecx,dword ptr [ebp-4] 34 00401075 51 push ecx 34 00401076 b980614100 mov ecx,offset windbgscript!std::cout (00416180) 34 0040107b e850000000 call windbgscript!std::basic_ostream<char,std::char_traits<char> >::operator<< (004010d0) 36 00401080 8b159c534100 mov edx,dword ptr [windbgscript!_iob+0x4 (0041539c)] 36 00401086 83ea01 sub edx,1 36 00401089 89159c534100 mov dword ptr [windbgscript!_iob+0x4 (0041539c)],edx 36 0040108f 7822 js windbgscript!main+0x63 (004010b3) 两处巧合导致错误的脚本得出了和预期一样的结果 1. 第二条指令恰好3个字节 -- +0xa 没问题 2. 下一条指令给eax赋值100，而此时eax就是100 -- main里赋的值 2012-5-24 09:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 19 楼关于windbg中的调试脚本，可以参考几个例子： 1. Windows 7下的段和门（附录） 2. Win7下的段和门 (2) （附录） 3. 调试驱动程序的入口 (2) 强大的条件断点 2012-5-25 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

levizhou

发帖

154

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
email123 雪币： 15203 活跃值： (4155) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 227 粉丝 1 关注私信	email123 2 楼不错，又学了一招，希望楼主多出这样简单易懂的文章！谢谢了 2011-11-15 22:49 0
leeone 雪币： 384 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 81 粉丝 0 关注私信	leeone 3 楼这种太简单了，lz整下字符串的匹配吧，多字节编码和unicode编码，大小写敏感，子串匹配，自由组合。当然自己写插件就简单了。 2011-11-15 23:36 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 4 楼对，这个确实非常简单因为我觉得写的简单点儿比较容易被接受，太复杂了就不是教程贴了 2011-11-16 09:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 5 楼厉害啊。来点实战的吧 2011-11-16 11:59 0
柳州小林雪币： 1596 活跃值： (30) 能力值： ( LV7，RANK：110 ) 在线值：发帖 31 回帖 235 粉丝 0 关注私信	柳州小林 2 6 楼不错不错,以后修改多个跳转就方便了 2011-11-22 10:00 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼看看。。：） 2011-11-24 15:35 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 0 关注私信	tydef 8 楼 THX 来点内核脚本调试范例如何？ 2011-11-24 16:32 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 9 楼实在不好意思，对内核调试的东西一无所知啊 2011-11-24 17:30 0
殁十一雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 94 粉丝 0 关注私信	殁十一 10 楼看看 2011-11-26 00:15 0
hash 雪币： 104 活跃值： (72) 能力值： ( LV2，RANK：15 ) 在线值：发帖 14 回帖 45 粉丝 0 关注私信	hash 11 楼 int add(int x, int y) { x = 0; //多余的 return x+y; } 脑子里以为 x= 0 这条指令会在栈中开辟空间，怎么是从参数传了。因为是函数内部局部变量，我还以为是 mov DWORD PTR [ebp-4],0 呢。求指点 2011-11-28 19:11 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 12 楼 [QUOTE=hash;1024496]int add(int x, int y) { x = 0; //多余的 return x+y; } 脑子里以为 x= 0 这条指令会在栈中开辟空间，怎么是从参数传了。因为是函数内部局部变量，我还以为是 mov DWORD PTR [ebp-4],0 呢。求指点[/QUOTE] 首先x会在栈中有位置 -- 参数位置其次，栈是逆向生长的，所以定位参数需要 ebp+？最后，默认压栈次序为倒序，再加上eip会占一个位置，然后 y，最后 x 所以x 在栈上的位置： ebp+8 2011-11-29 19:41 0
Dvsz 雪币： 224 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	Dvsz 13 楼谢谢楼主分享！ 2012-2-4 19:47 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 14 楼感谢分享。。。 2012-2-8 10:53 0
lactor 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	lactor 15 楼顶，学习了。 2012-2-13 17:26 0
cosmoer 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	cosmoer 16 楼代码: bp windbgscript!add + 0x03 " r @eip = @eip+0xa; $$ @符号会让脚本解释程序认为后面跟随的名称代表为寄存器，节省查找时间，提高效率 gc; " 请问，为什么是+0xa，而不是+0x7？ 2012-5-23 15:30 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 17 楼应该是0x7，可能我当时打错字了；我那里有存根回去看下修正多谢细心指出 2012-5-24 08:57 0
levizhou 雪币： 188 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 23 回帖 154 粉丝 0 关注私信	levizhou 1 18 楼 windbgscript!main [e:\workspace\windbgscript\windbgscript.cpp @ 28]: 28 00401050 55 push ebp 28 00401051 8bec mov ebp,esp 28 00401053 83ec0c sub esp,0Ch 30 00401056 c745f864000000 mov dword ptr [ebp-8],64h 32 0040105d e89effffff call windbgscript!ret100 (00401000) 32 00401062 50 push eax 32 00401063 8b45f8 mov eax,dword ptr [ebp-8] 32 00401066 50 push eax 32 00401067 e8c4ffffff call windbgscript!add (00401030) 32 0040106c 83c408 add esp,8 32 0040106f 8945fc mov dword ptr [ebp-4],eax 34 00401072 8b4dfc mov ecx,dword ptr [ebp-4] 34 00401075 51 push ecx 34 00401076 b980614100 mov ecx,offset windbgscript!std::cout (00416180) 34 0040107b e850000000 call windbgscript!std::basic_ostream<char,std::char_traits<char> >::operator<< (004010d0) 36 00401080 8b159c534100 mov edx,dword ptr [windbgscript!_iob+0x4 (0041539c)] 36 00401086 83ea01 sub edx,1 36 00401089 89159c534100 mov dword ptr [windbgscript!_iob+0x4 (0041539c)],edx 36 0040108f 7822 js windbgscript!main+0x63 (004010b3) 两处巧合导致错误的脚本得出了和预期一样的结果 1. 第二条指令恰好3个字节 -- +0xa 没问题 2. 下一条指令给eax赋值100，而此时eax就是100 -- main里赋的值 2012-5-24 09:26 0
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 19 楼关于windbg中的调试脚本，可以参考几个例子： 1. Windows 7下的段和门（附录） 2. Win7下的段和门 (2) （附录） 3. 调试驱动程序的入口 (2) 强大的条件断点 2012-5-25 14:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复