[原创]理解OD的F4,F7,F8,F9-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]理解OD的F4,F7,F8,F9

发表于: 2008-11-22 22:56 58081

[原创]理解OD的F4,F7,F8,F9

better

2008-11-22 22:56

58081

这个小程序只是hook（IAT hook）了OD的四个关键调试API：WaitForDebugEvent（），GetThreadContext（），SetThreadContext（），ContinueDebugEvent（）

当程序运行时，OD通过WaitForDebugEvent等待系统调试事件，WaitForDebugEvent返回时代表有一个调试事件发生了，hook了它就可以轻而易举的知道所发生的具体事件。GetThreadContext得到一个CONTEXT结构，OD寄存器面板里的各个值就来源于这里，但是OD寄存器面板里的值不一定是原始真实的，hook了这个函数就可以看清清楚楚。最重要的是SetThreadContext，OD中F4,F7,F8,F9，shift+F7,shift+F9的功能就是设置CONTEXT结构，然后调用这个函数，设置线程环境，hook了这个函数就能弄清楚OD的调试花招。ContinueDebugEvent后系统就恢复执行被调试线程。

以最简单的F7为例：

看到图中EFLAGE：00000346（0…… 0011 0100 0110）

TF单步标志位是第9位，显然TF＝1，表明执行完这条指令后引发单步异常

点确定后出现：

要恢复执行被调试线程了！

再点确定后出现：

图中可以清楚的看到ExceptionCode和ExceptionAddress，80000004就是上面提到单步异常（果然发生了），当然这个异常OD是自己处理的，不会发给被调试程序的！要注意的是硬件断点产生的异常也是80000004，所以最后要通过Dr6的最后四位来判断！

F7固然简单，F9就比我想象的要复杂，大家可以试一试，它们的第一步居然也是单步，然后才把TF置零，正真运行。原因是要落实各个断点（关键是刚刚命中的那个断点（如果有）），包括硬件断点！

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

ContinueDebugEvent.JPG （5.38kb，4352次下载）
GetThreadContext.JPG （18.13kb，4347次下载）
SetThreadContext.JPG （15.64kb，4350次下载）

收藏・67

免费・7

支持

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-4 03:03

伟叔叔

为你点赞~

2023-11-30 05:23

QinBeast

为你点赞~

2023-9-10 00:58

PLEBFE

为你点赞~

2023-8-26 02:17

shinratensei

为你点赞~

2023-8-14 01:20

心游尘世外

为你点赞~

2023-8-4 00:00

飘零丶

为你点赞~

2023-7-21 02:11

最新回复 (70) 1 2 3 ▶
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2 楼忘了附件：又更新了一下附件：增加了很多别的DEBUG_EVENT的提示 CREATE_PROCESS_DEBUG_EVENT时，进程名通过别的方法获取了，但LOAD_DLL_DEBUG_EVENT时模块名无法获取，它们的lpImageName是NULL（或无效），用PSAPI也不行，刚刚得到这个事件时别的工具也无法察出来，OD里的模块列表应该是后来枚举出来的……不知道大家有什么高招！◎＃￥％……※× 上传的附件： New_OD_inject.rar （69.70kb，370次下载） 2008-11-22 23:00 0
海风月影雪币： 7327 活跃值： (3813) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2310 粉丝 123 关注私信	海风月影 22 3 楼不错~~~ 顶~~ 2008-11-22 23:09 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 4 楼一开始图片没了，，，编辑了我半天…… 2008-11-22 23:20 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 5 楼好文要顶。。。。。 2008-11-23 00:00 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 25 关注私信	笨笨雄 14 6 楼顶~~ 不错~~~ 2008-11-23 00:59 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼强大，顶！！！！！！！！！！ 2008-11-23 02:44 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 8 楼收藏＋顶。。。。。。。。。。。。。。。 2008-11-23 09:19 0
狼行wolf 雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 107 粉丝 0 关注私信	狼行wolf 9 楼用五粮液顶文章真的不错 2008-11-23 09:53 0
飞雪雪币： 10 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	飞雪 1 10 楼文章不错，加油。 2008-11-24 13:52 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 11 楼不知道更新几次了……还是帮我想想LOAD_DLL_DEBUG_EVENT时怎么获得模块名吧，， 2008-11-24 21:50 0
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 12 楼好文章，学习！ 2008-11-24 23:53 0
火影雪币： 332 活跃值： (35) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 13 楼思路很清晰哦 2008-11-25 00:57 0
combojiang 雪币： 321 活跃值： (276) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 14 楼好文，学习。 2008-11-25 08:54 0
断剑七郎雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	断剑七郎 15 楼 ..支持.. 2008-11-25 09:34 0
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 16 楼好文，学习了。 2008-11-25 11:07 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 17 楼看完了，不错 2008-11-25 12:44 0
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 18 楼支持一下...... 2008-11-26 10:07 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 19 楼支持，呵呵~~~ 2008-11-26 16:51 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 20 楼想操练已下，HOOK函数少了，没找到程序， 2009-1-30 20:10 0
wuzhi 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	wuzhi 21 楼学习了厉害 2009-2-12 16:24 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 22 楼最近对这些断点的理论重新整理温习了一下，再看了LZ的大作，感觉比以前的理解更清晰了许多。 2009-2-13 00:46 0
cqsks 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	cqsks 23 楼好文要顶。。。。。.. 2009-3-2 17:18 0
lixupeng 雪币： 560 活跃值： (268) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 24 楼学习了！！ 2009-3-2 20:57 0
qplchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	qplchen 25 楼不得为菜鸟们欢呼了~转论坛 2009-5-8 23:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

better

发帖

324

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) 1 2 3 ▶
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2 楼忘了附件：又更新了一下附件：增加了很多别的DEBUG_EVENT的提示 CREATE_PROCESS_DEBUG_EVENT时，进程名通过别的方法获取了，但LOAD_DLL_DEBUG_EVENT时模块名无法获取，它们的lpImageName是NULL（或无效），用PSAPI也不行，刚刚得到这个事件时别的工具也无法察出来，OD里的模块列表应该是后来枚举出来的……不知道大家有什么高招！◎＃￥％……※× 上传的附件： New_OD_inject.rar （69.70kb，370次下载） 2008-11-22 23:00 0
海风月影雪币： 7327 活跃值： (3813) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2310 粉丝 123 关注私信	海风月影 22 3 楼不错~~~ 顶~~ 2008-11-22 23:09 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 4 楼一开始图片没了，，，编辑了我半天…… 2008-11-22 23:20 0
qdk 雪币： 231 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 423 粉丝 0 关注私信	qdk 5 楼好文要顶。。。。。 2008-11-23 00:00 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 25 关注私信	笨笨雄 14 6 楼顶~~ 不错~~~ 2008-11-23 00:59 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼强大，顶！！！！！！！！！！ 2008-11-23 02:44 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 8 楼收藏＋顶。。。。。。。。。。。。。。。 2008-11-23 09:19 0
狼行wolf 雪币： 290 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 107 粉丝 0 关注私信	狼行wolf 9 楼用五粮液顶文章真的不错 2008-11-23 09:53 0
飞雪雪币： 10 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	飞雪 1 10 楼文章不错，加油。 2008-11-24 13:52 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 11 楼不知道更新几次了……还是帮我想想LOAD_DLL_DEBUG_EVENT时怎么获得模块名吧，， 2008-11-24 21:50 0
pzk 雪币： 58 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 68 粉丝 0 关注私信	pzk 12 楼好文章，学习！ 2008-11-24 23:53 0
火影雪币： 332 活跃值： (35) 能力值： ( LV12，RANK：460 ) 在线值：发帖 24 回帖 141 粉丝 1 关注私信	火影 11 13 楼思路很清晰哦 2008-11-25 00:57 0
combojiang 雪币： 321 活跃值： (276) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 14 楼好文，学习。 2008-11-25 08:54 0
断剑七郎雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	断剑七郎 15 楼 ..支持.. 2008-11-25 09:34 0
qifeon 雪币： 414 活跃值： (10) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 144 粉丝 0 关注私信	qifeon 11 16 楼好文，学习了。 2008-11-25 11:07 0
fool 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	fool 17 楼看完了，不错 2008-11-25 12:44 0
adwardwang 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 47 粉丝 0 关注私信	adwardwang 18 楼支持一下...... 2008-11-26 10:07 0
xievazi 雪币： 134 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 102 粉丝 0 关注私信	xievazi 19 楼支持，呵呵~~~ 2008-11-26 16:51 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 20 楼想操练已下，HOOK函数少了，没找到程序， 2009-1-30 20:10 0
wuzhi 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 80 粉丝 1 关注私信	wuzhi 21 楼学习了厉害 2009-2-12 16:24 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 22 楼最近对这些断点的理论重新整理温习了一下，再看了LZ的大作，感觉比以前的理解更清晰了许多。 2009-2-13 00:46 0
cqsks 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	cqsks 23 楼好文要顶。。。。。.. 2009-3-2 17:18 0
lixupeng 雪币： 560 活跃值： (268) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 24 楼学习了！！ 2009-3-2 20:57 0
qplchen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	qplchen 25 楼不得为菜鸟们欢呼了~转论坛 2009-5-8 23:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]理解OD的F4,F7,F8,F9

账号登录 验证码登录

账号登录

验证码登录