[求助]windbg调试traceme的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]windbg调试traceme的问题

发表于: 2009-6-17 18:44 5657

[求助]windbg调试traceme的问题

dcbeyond

2009-6-17 18:44

5657

加密与解密第二版有个TraceMe的例子是用softice调的，想用windbg调，但总是调不对，请大家帮我指点下：
目的很简单，看GetDlgItemA的参数。
首先下了断点:bu GetDlgItemA
然后运行，输入参数：用户名为pediy，密码为123456，然后再运行

USER32!GetDlgItem:
77d23dce 8bff          mov    edi,edi

运行至断点
USER32!GetDlgItemTextA:
77d6ae36 8bff          mov    edi,edi

查看堆栈
0:000> kv
ChildEBP RetAddr  Args to Child
WARNING: Stack unwind information not available. Following frames may be wrong.
0012f96c 004011b6 001f0204 0000006e 0012f9d0 USER32!GetDlgItemTextA
0012faac 77d23745 004010d0 001f0204 00000111 image00400000+0x11b6
0012fb18 77d23591 00000000 004010d0 001f0204 USER32!PrivateExtractIconExW+0x2b2
0012fb60 77d3e561 00000000 00000111 000003f5 USER32!PrivateExtractIconExW+0xfe
0012fb7c 77d18734 001f0204 00000111 000003f5 USER32!DefDlgProcA+0x22
0012fba8 77d18816 77d3e53f 001f0204 00000111 USER32!GetDC+0x6d
0012fc10 77d1b89b 00000000 77d3e53f 001f0204 USER32!GetDC+0x14f
0012fc4c 77d1b903 006c5f00 00699250 000003f5 USER32!GetParent+0x16c
0012fc6c 77d4fd1d 001f0204 00000111 000003f5 USER32!SendMessageW+0x49
0012fc84 77d46561 006c1ce0 00000000 006c1ce0 USER32!CreateMDIWindowA+0x1bd
0012fca0 77d26df4 00145958 00000001 00000000 USER32!DeregisterShellHookWindow+0x62d9
0012fd24 77d3b04a 006c1ce0 00000202 00000000 USER32!IsDlgButtonChecked+0x107f
0012fd44 77d18734 00130274 00000202 00000000 USER32!SoftModalMessageBox+0xda3
0012fd70 77d18816 77d3affe 00130274 00000202 USER32!GetDC+0x6d
0012fdd8 77d189cd 00000000 77d3affe 00130274 USER32!GetDC+0x14f
0012fe38 77d18a10 0012fe88 00000000 0012fe6c USER32!GetWindowLongW+0x127
0012fe48 77d2d99d 0012fe88 00000000 006c5f00 USER32!DispatchMessageW+0xf
0012fe6c 77d2dada 001f0204 006c1ce0 00000000 USER32!IsDialogMessageW+0xdb
0012fea8 77d2593f 001f0204 00000000 00000010 USER32!CallMsgFilterW+0x12e
0012fed0 77d25981 00400000 00406a64 00000000 USER32!DrawStateW+0x1f2

事先知道GetDlgItemTextA函数的第三个参数为输入字符串，查看第三个参数的内容

0:000> dd 0012f9d0
0012f9d0  0000003b 00000001 0110007a 00000004
0012f9e0  00000005 00000001 00000006 0110007a
0012f9f0  0000003e 00000005 00000001 00000006
0012fa00  0110007a 00000001 00000005 00000008
0012fa10  0000000c 00000004 0012fa3c 77d2f951
0012fa20  18010b70 0000003b 0110007a 005a0049
0012fa30  00000001 00000001 00000001 0012faa8
0012fa40  77d328d0 18010b70 0012fa58 00000000

再用db查看
0:000> db 0012f9d0
0012fa50  58 59 14 00 00 02 00 00-04 00 00 00 04 00 00 00  XY..............
0012fa60  3f 00 00 00 0c 00 00 00-0a 00 00 00 58 59 14 00  ?...........XY..
0012fa70  0f 00 12 00 03 00 00 00-05 00 00 00 6c 00 10 01  ............l...
0012fa80  68 82 67 00 34 87 d1 77-04 02 1f 00 11 01 00 00  h.g.4..w........
0012fa90  f5 03 00 00 74 02 13 00-d0 10 40 00 cd ab ba dc  ....t.....@.....
0012faa0  00 00 00 00 e8 fa 12 00-d0 10 40 00 18 fb 12 00  ..........@.....
没有看到用户名（或者口令）
请问如何能够得到输入字符串和口令。
另外请问，windbg进行加密解密的特点，应该与softice一样方便吗？

附TraceMe文件，大家帮我看下。谢谢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

TraceMe.rar （9.94kb，28次下载）

收藏・0

免费・0

支持

最新回复 (3)
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 2 楼 gu一下就行了 2009-6-17 21:12 0
dcbeyond 雪币： 192 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 41 粉丝 1 关注私信	dcbeyond 3 楼谢谢，就是领空的问题 2009-6-18 09:18 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 4 楼 gu一下是啥意思啊？ 2010-6-5 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

dcbeyond

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
zhzhtst 雪币： 462 活跃值： (53) 能力值： ( LV9，RANK：460 ) 在线值：发帖 23 回帖 167 粉丝 1 关注私信	zhzhtst 11 2 楼 gu一下就行了 2009-6-17 21:12 0
dcbeyond 雪币： 192 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 41 粉丝 1 关注私信	dcbeyond 3 楼谢谢，就是领空的问题 2009-6-18 09:18 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 4 楼 gu一下是啥意思啊？ 2010-6-5 22:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复