Question:
Débogage EXE avec TLS
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

Comment déboguer un exécutable qui utilise des rappels TLS? Je crois comprendre que ceux-ci s'exécutent avant que mon débogueur ne s'associe.

L'Internet Storm Center a une très bonne [rédaction] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) de la façon dont vous pouvez le faire.
Deux réponses:
#1
+8
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

soit :

  • corrige une rupture de débogage (CC int3) ou une boucle infinie (EB FE jmp $) au début du TLS
  • essayez de définir un point d'arrêt le plus tôt possible (comme Options / Events / Make first pause at / System Breakpoint), puis définissez un point d'arrêt au début du TLS
  • utilisez un plugin spécifique, tel que OllyAdvanced pour OllyDbg.

Notez que les conditions d'exécution de TLS sont délicates et que le débogage peut entraîner l'exécution d'un TLS autrement ignoré.

#2
+1
LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

Si vous utilisez IDA Pro, Ctrl-E (raccourci Windows https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) il affichera votre point d'entrée. Vous pouvez accéder directement à la fonction principale / démarrer.

Igor est probablement mieux armé pour commenter cela, mais TLS a été l'une des faiblesses de l'IDA à un moment donné.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...