首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
Windbg调试用户态的进程dmp的时候,如何获知某个socket值所对应的ip和port或之类的信息
发表于: 2020-12-7 15:29 2140

Windbg调试用户态的进程dmp的时候,如何获知某个socket值所对应的ip和port或之类的信息

sculida 活跃值
2020-12-7 15:29
2140

例如栈回溯中有这句

ChildEBP RetAddr Args to Child

00 0018cfa4 727744f4 00000554 00000584 00000000 ntdll_77710000!NtDeviceIoControlFile+0x15 (FPO: [10,0,0])
01 0018d038 76fe447f 00000554 0018d0b4 00000001 mswsock!WSPSend+0x1bf (FPO: [Non-Fpo])
02 0018d074 66916985 00000554 0018d0b4 00000001 ws2_32!WSASend+0x7b (FPO: [Non-Fpo])
一般认为某个socket变量的值就是0x554。
推测会有一些windbg扩展命令能够解析吧。
谢谢!


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
wuxiwudi
雪    币: 918
活跃值: (1900)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2
kpL
2020-12-7 16:03
0
sculida
雪    币: 189
活跃值: (154)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
wuxiwudi kpL
谢谢。你给的好像是栈回溯相关命令。我关注的不是栈回溯问题。而是“如何获知某个socket值所对应的ip和port或之类的信息”
2020-12-7 16:37
0
vblank
雪    币: 1469
活跃值: (440)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
实时调试还有可能,只是DMP的话基本不可能有这类信息
2020-12-7 16:53
0
sculida
雪    币: 189
活跃值: (154)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
vblank 实时调试还有可能,只是DMP的话基本不可能有这类信息
实机调试时,怎么查看socket,可否分享一二?
2020-12-7 18:23
0
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
6
.cxr address
.trap address
2020-12-7 18:37
0
wuxiwudi
雪    币: 918
活跃值: (1900)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
7
这个玩意你可以理解为socket handle,想获取具体东西,要不然写个工具hook然后query一下?
2020-12-7 19:07
0
vblank
雪    币: 1469
活跃值: (440)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
可以写个DLL注进去调用以下API获取:
int getpeername(
  __in     SOCKET s,
  __out    struct sockaddr* name,
  __inout  int* namelen
);

怎么直接查看就不知道了,可以试着分析这个API怎么实现的
2020-12-7 21:30
1
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//