-
-
[旧帖] [原创][邀请码已发]如何寻找多线程程序的入口点 0.00雪花
-
发表于: 2009-10-6 10:00
-
一些外壳程序利用了多线程技术来保护,杀掉调试进程等,来保护自己不被调试。由于线程程序先于主程序启动,造成调试上的困难,下面谈一谈怎样寻找多线程程序的入口点:
一、 用PEiD加载被调试程序
查看TLS表
记下TLS表存放线程入口地址的地址值
将地址48B13C记下,这是TLS表存放线程入口地址的位置
二、 用OllyDbg调试
先打开OllyDbg,单击“选项”-“调试设置”-“事件”
选择系统断点,单击确定
然后将被调试程序加载到OllyDbg中,这时停在系统断点。
在调试窗口单击右键,单击“转到”-“表达式”
填入刚才记下的地址48B13C,单击确定。
这时显示如下
注意看48B13C地址开始的值是004E5C71,这就是线程程序的入口地址,再转到地址004E5C71显示如下:
此时按F2下断点,再按F9运行,程序就停止004E5C71的地址上,这时就可以开始单步调试线程程序了。
一、 用PEiD加载被调试程序
查看TLS表
记下TLS表存放线程入口地址的地址值
将地址48B13C记下,这是TLS表存放线程入口地址的位置
二、 用OllyDbg调试
先打开OllyDbg,单击“选项”-“调试设置”-“事件”
选择系统断点,单击确定
然后将被调试程序加载到OllyDbg中,这时停在系统断点。
在调试窗口单击右键,单击“转到”-“表达式”
填入刚才记下的地址48B13C,单击确定。
这时显示如下
注意看48B13C地址开始的值是004E5C71,这就是线程程序的入口地址,再转到地址004E5C71显示如下:
此时按F2下断点,再按F9运行,程序就停止004E5C71的地址上,这时就可以开始单步调试线程程序了。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
