首页
社区
课程
招聘
未解决 windbg硬件断点下来的指令地址找不到对应的模块
发表于: 2020-9-23 23:49 2093

未解决 windbg硬件断点下来的指令地址找不到对应的模块

2020-9-23 23:49
2093

我通过CE找到想要跟踪的地址为0x1E2628DC9AC,然后我在windbg里下硬件断点:

 

ba w1 0x1E2628DC9AC

 

但是断下来的指令地址不在任意一个加载模块区域内:
000001e2 07f841bd 498b4510 mov rax,qword ptr [r13+10h] ds:000001e3`aafce010=000001e2628dc8c0

 

断下来的指令地址为 000001e2 07f841bd,所以我使用
lmDva 0x000001e207f841bd 指令查看,没有输出,并且核对了所有加载模块的起始地址和结束地址,都没有找到。

 

有没有大神指点一下是怎么回事,非常感谢!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 7055
活跃值: (3086)
能力值: ( LV4,RANK:52 )
在线值:
发帖
回帖
粉丝
2
那就有可能是自己申请的地址,把shellcode放进去了
2020-9-24 11:08
0
雪    币: 3
活跃值: (118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
大神好,是不是类似于dlopen这样,把代码加载到自己程序运行时分配的那个地方(比如这边的0x1E2628DC9AC),然后需要的时候跳转到这边进行调用。
是一个稀疏平常的Unity3D开发的游戏,也没做什么保护,大神你觉得这么做会不会不符合平常简单的开发逻辑,为什么不直接封装在so里
如果真是这样的话,大神有什么逆向的思路么?把这部分区域数据dump下来,再拖到ida里?
2020-9-24 13:31
0
雪    币: 3
活跃值: (118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不对 那就有可能是自己申请的地址,把shellcode放进去了
大神好,是不是类似于dlopen这样,把代码加载到自己程序运行时分配的那个地方(比如这边的0x1E2628DC9AC),然后需要的时候跳转到这边进行调用。
是一个稀疏平常的Unity3D开发的游戏,也没做什么保护,大神你觉得这么做会不会不符合平常简单的开发逻辑,为什么不直接封装在so里
如果真是这样的话,大神有什么逆向的思路么?把这部分区域数据dump下来,再拖到ida里?
2020-9-24 13:31
0
雪    币: 3
活跃值: (118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
求别沉
2020-9-24 19:35
0
游客
登录 | 注册 方可回帖
返回
//