Frage:
EXE mit TLS debuggen
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

Wie debugge ich eine ausführbare Datei, die TLS-Rückrufe verwendet? Nach meinem Verständnis werden diese ausgeführt, bevor mein Debugger angehängt wird.

Das Internet Storm Center bietet eine ziemlich gute Möglichkeit (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655), wie Sie dies tun können.
Zwei antworten:
#1
+8
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

entweder:

  • Patch eine Debug-Unterbrechung (CC int3) oder eine Endlosschleife (EB FE jmp $) zu Beginn des TLS
  • versuchen, a zu setzen Haltepunkt so früh wie möglich (wie OllyDbgs Optionen / Ereignisse / Erste Pause am / System-Haltepunkt machen), dann einen Haltepunkt beim Start des TLS festlegen
  • Verwenden Sie ein bestimmtes Plugin, z. B. OllyAdvanced für OllyDbg.

Beachten Sie, dass die Bedingungen für die TLS-Ausführung schwierig sind und das Debuggen dazu führen kann, dass ein ansonsten ignorierter TLS ausgeführt wird.

#2
+1
LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

Wenn Sie IDA Pro verwenden, wird Strg-E (Windows-Verknüpfung https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) angezeigt Sie Einstiegspunkt. Sie können direkt zur Haupt- / Startfunktion springen.

Igor ist wahrscheinlich besser gerüstet, um dies zu kommentieren, aber TLS war irgendwann eine der Schwächen in IDA.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...