请教断点问题！-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Crystal小夜雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	Crystal小夜 2 楼这个没办法下断吧。只能把他的这个工程加进来调试吧~~~ 2012-11-20 12:12 0
istheone 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	istheone 3 楼如果这个DLL是你写的，你可以用VC编译器的调试功能把这个EXE进程加进来下断。如果不是，你用OD找到该进程的这个DLL模块，给某个函数下断，这都可以。 2012-11-20 14:07 0
sixthgod 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	sixthgod 4 楼可以都加进工程再断啊··· 2012-11-22 11:31 0
ghostwalk 雪币： 4 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	ghostwalk 5 楼是什么情况。 2012-11-22 14:46 0
hai路雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	hai路 6 楼如果DLL不是你写的，还没有源代码的话，不可以断 2012-11-25 17:18 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼先加进去找到函数头部存在的e8 e9等跳转特征然后跑到跳转的地方(进入dll领空) 然后下断 2012-11-27 17:34 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 8 楼通过楼主的描述，我认为是一个hook吧，通过修改代码跳转到dll代码里，可以实现自己想要完成的功能，有时候病毒，木马，或者破解都会采用这种方式，那么如果修改的代码在导入表位置，这就是一个iat hook，如果修改的是exe程序里面一个关键的函数，如果跳到dll完成自己想要的功能（如过滤判断等）还要完成原来关键函数的功能就有点类似于inline hook了。不知道我说的是不是楼主遇到的情况，楼主应该描述的更清楚些。这样也好回答。姑且认为我理解对了，那么分析这种情况大概有2种方法： 1：分析注入程序：看看注入程序实现的是什么功能，是只是完成了获得exe程序句柄，然后注入dll。还是其他的功能。这个看具体问题，具体分析了 2：分析dll。可以用ida静态查看一下这个dll，看他得dllmain和导出函数，一般也就清楚这个dll干了什么。分析清楚注入程序和dll，大体就知道修改代码跳转的地方了，此时，就可以用od载入exe，断点在修改代码跳转的地方，然后跟进dll代码里面。大体的思路就是这样。如果还有问题。留贴或者站内信都可以。 2012-11-27 19:07 0
HuErr 雪币： 51 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 1 关注私信	HuErr 9 楼很简单啊。你在DLL里要下的地方放个MessageBox.等框弹出来后。到MessageBox的ret处下个断点就OK了。然后点MessageBox确定后，就断下来了。 2012-11-27 19:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Crystal小夜雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	Crystal小夜 2 楼这个没办法下断吧。只能把他的这个工程加进来调试吧~~~ 2012-11-20 12:12 0
istheone 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	istheone 3 楼如果这个DLL是你写的，你可以用VC编译器的调试功能把这个EXE进程加进来下断。如果不是，你用OD找到该进程的这个DLL模块，给某个函数下断，这都可以。 2012-11-20 14:07 0
sixthgod 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	sixthgod 4 楼可以都加进工程再断啊··· 2012-11-22 11:31 0
ghostwalk 雪币： 4 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	ghostwalk 5 楼是什么情况。 2012-11-22 14:46 0
hai路雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	hai路 6 楼如果DLL不是你写的，还没有源代码的话，不可以断 2012-11-25 17:18 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼先加进去找到函数头部存在的e8 e9等跳转特征然后跑到跳转的地方(进入dll领空) 然后下断 2012-11-27 17:34 0
zsmj 雪币： 274 活跃值： (30) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 54 粉丝 1 关注私信	zsmj 8 楼通过楼主的描述，我认为是一个hook吧，通过修改代码跳转到dll代码里，可以实现自己想要完成的功能，有时候病毒，木马，或者破解都会采用这种方式，那么如果修改的代码在导入表位置，这就是一个iat hook，如果修改的是exe程序里面一个关键的函数，如果跳到dll完成自己想要的功能（如过滤判断等）还要完成原来关键函数的功能就有点类似于inline hook了。不知道我说的是不是楼主遇到的情况，楼主应该描述的更清楚些。这样也好回答。姑且认为我理解对了，那么分析这种情况大概有2种方法： 1：分析注入程序：看看注入程序实现的是什么功能，是只是完成了获得exe程序句柄，然后注入dll。还是其他的功能。这个看具体问题，具体分析了 2：分析dll。可以用ida静态查看一下这个dll，看他得dllmain和导出函数，一般也就清楚这个dll干了什么。分析清楚注入程序和dll，大体就知道修改代码跳转的地方了，此时，就可以用od载入exe，断点在修改代码跳转的地方，然后跟进dll代码里面。大体的思路就是这样。如果还有问题。留贴或者站内信都可以。 2012-11-27 19:07 0
HuErr 雪币： 51 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 1 关注私信	HuErr 9 楼很简单啊。你在DLL里要下的地方放个MessageBox.等框弹出来后。到MessageBox的ret处下个断点就OK了。然后点MessageBox确定后，就断下来了。 2012-11-27 19:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 请教断点问题！ 0.00雪花