-
-
[求助]逆向工程核心原理-调试钩取问题
-
发表于: 2023-3-31 17:57
-
在CREATE_PROCESS_DEBUG_EVENT中拿到了被调试程序的CREATE_PROCESS_DEBUG_INFO->g_cpdi(其中包含当前进程的hprocess和hthread),并设置了int3断点
然后在断点触发后(EXCEPTION_DEBUG_EVENT),进入处理函数
如图这样,直接设置的eip寄存器的值,可是当前g_cpdi不应该是刚刚附加进程时候的进程上下文吗,而附加----->断点触发这一过程 线程的上下文不应该有变化吗,而且这个CREATE_PROCESS_DEBUG_INFO中的hthread应该是主线程吧
求大佬求解
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
是的,这个程序的目的是附加另一个程序设置断点进行调试,我的迷惑点在是在附加时获取的上下文信息,然后直接拿来在断点触发时使用,这时上下文信息不应该已经过时了吗 |
|
|
我也不明白你为什么不懂,你要不再仔细看看GetThreadContext是什么作用?
最后于 2023-4-3 17:03
被palkiver编辑
,原因:
|
|
|
这个是createprocess调试进程,默认停在一个int3系统断点,这时候不做处理直接继续进程也是没问题的 |
|
|
明白了,哈哈哈,你这么一说我就懂了 |
逆向爱好者
毛仙 
