-
-
关于调试堆的int3指令技巧问题
-
发表于:
2011-11-27 22:02
6614
-
按照failwest大神给的调试堆的思路,因为堆在调试态与正常态下的形态是不一样的.那么调试的时候不能直接调试,要先运行程序.设置一个int 3 汇编指令在程序中.中断下来用olly attach 调试.这样才能调试到实际程序使用到的堆.
那么,我发现我直接用olly打开程序,然后调试按f9.进程直接就退出了.异常好像olly不能够捕获到呢?
若直接先打开程序,程序会停留在int 3指令的那里.若把olly设置为默认的调试器后.附加前不需要确认这样就可以停在断的那里:int 3.
但是,若按F8程序又会进入到异常处理中执行.然后退出.请问大家调试的时候情况是什么样子的呢?
想要调试好像只有把EIP的值改为下一条指令才能进行.也就是把eip改来跳过int3 .请问是怎么回事啊?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课