Ребят, как отлаживать инжект в исходниках?

dyn · 8 июн 2010

Привет. Смотрите ситуацию. На сях написана дллка, которая руками подгружается в ап иного процесса. Т.е. размещаются секции, биндится импорт и т.д.

Потом передается управление на Энтри.
Так вот
хочется как-то отлаживать этот код в исходниках, а не на асме. Можно ли как-то это делать? И вообще, как проще всего отлаживать инжекты? расскажите технологию.

Т.к. я чайник

Заранее спасибо!

TermoSINteZ · 8 июн 2010

Можно.
Берешь Windbg например, аттачишься к процессу. В сорце своем ставишь int 3 инструкцию. Ну и инжектишь длл в процесс. Когда сработал бряк, подгружаешь символы длл и сорцы длл (это все есть в меню windbg). Наслаждаешься отладкой по сорцам.

dyn · 8 июн 2010

огромное спасибо!
Скажите, а в Syser-е такое возможно?

EvilsInterrupt · 8 июн 2010

TermoSINteZ
Слуш, подобные вопросы не редкость! Может ты в свой блог заметку нахерачишь, как это действие творить ?

TermoSINteZ · 8 июн 2010

EvilsInterrupt
Намек понят. Постараюсь найти время. Мне всегда казалось, что эта тема уже так объезжена.

Clerk · 8 июн 2010

TermoSINteZ
Ога, берёшь второй комп или варю и трассируешь этой глюченной древней геррью кодес пока не надоест
dyn
Код на асме и только в нём возможна отладка. Скрипты гуан, отладка их вобще ппц.. херня. Зачем эти извраты ?

TermoSINteZ · 8 июн 2010

Clerk
:-D ну лучше бы по сисеру подсказал народу, можно ли туда сурцы пихать.

На счет глючности спорить не буду. Потому как глупо.

Clerk · 8 июн 2010

TermoSINteZ
В отладчике я не вижу разницы. Собствено там разницы почти нет, они на асме ведь все у меня.

TermoSINteZ · 8 июн 2010

Clerk
Ну я то ответить не могу, потому что не имею на текущей машине Syser. Вроде вопрос этот как-то поднимался. И вроде даже ответы были, что сисер не поддерживает сурцы. Могу ошибаться.

Booster · 8 июн 2010

Не въехал, что нужно отлаживать. Если этап загрузки, то с отладкой в лодыре проблем быть не должно. Если длл в чужом процессе, то ставим в студии Debugging/command путь к лодырю, бряк и F5.

TermoSINteZ · 8 июн 2010

Booster
Ну тут вопрос в том поддерживает ли Syser отладку через сорцы\символы.

Booster · 8 июн 2010

TermoSINteZ

поддерживает ли Syser отладку через сорцы\символы.
Нажмите, чтобы раскрыть...

Насколько мне известно не поддерживает, хотя давно его уже не юзал.

wsd · 8 июн 2010

ли Syser отладку через сорцы\символы.
Нажмите, чтобы раскрыть...

давнно не запускал но когда запускал поддерживал.
точнее если через него загружать на выполнение, а на счёт аттача не помню..

JCronuz · 9 июн 2010

Никогда исходный код не отлаживал в Syser но возможность была

J0E · 11 июн 2010

WinDbg подгружает символы командой:

ld ModuleName [/f FileName]

ModuleName - очевидно имя модуля, так откуда о нем узнает отладчик, если инжект делается вручную?

TermoSINteZ · 11 июн 2010

J0E
Если модуль собран с дебаг инфой, то он ее считает и сам подгрузит нужное (частенько бывало).
То есть отладчик останавливается на бряке внутри модуля который нужно отладить. Если он видит там символы, он их грузит, и сам открывает сорц. Если сорц не открыт автоматом, и символы не подгружены, надо это сделать ручками.

Отладчик - инструмент, если он сам не понял, значит надо ему подсказать. Нет ничего в этом плохого, и нет в этом ничей вины.

/off
EvilsInterrupt
В блоге сделал статейку, можете читать.

J0E · 11 июн 2010

Это все ясно и не имеет отношения к сути, переформулирую вопрос.

В списке мудулей загруженной РУКАМИ dll нет. Что написать параметром для ld?

TermoSINteZ · 11 июн 2010

J0E
Если модуля нету в списке, но он загружен руками, то он добавляется в список, и можно писать ld "заргуженный руками длл модуль". Windbg прекрасно его распознает. Например загрузили руками DLLForInj.dll
0:005> ld DLLForInj
Symbols already loaded for DLLForInj

Как видно - он распознал модуль (не обращаем внимание что символы уже плдгружены - это он он их автоматом подгрузил, так как длл имеет дебаг инфу. здесь важен сам факт распознавания модуля). Правда если модуль удалит себя из списка при загрузке (длл аттач), может будут проблемы. Но тогда надо просто останавливать выполнение на аттаче. И смотреть код.

Сорри если опять вопрос не так понял

J0E · 11 июн 2010

руками подгружается в ап иного процесса. Т.е. размещаются секции, биндится импорт и т.д
Нажмите, чтобы раскрыть...

Кто и как его будет добавлять в список?

TermoSINteZ · 11 июн 2010

J0E
Ну если в список не добавлено, тогда такая команда не поможет. Но проблема надумана. Если вам надо протестировать работу длл (а автору это и нужно, раз он уверен, что она размещается и биндится правильно, и как он сказал ему интересно тестировать код начиная с энтрипоинта длл, а не тот который биндит и связывает), тестируйте ее загружая в процесс с помощью LoadLibrary. Кто мешает?

Войти или зарегистрироваться

Ребят, как отлаживать инжект в исходниках?

dyn New Member

TermoSINteZ Синоби даоса Команда форума

dyn New Member

EvilsInterrupt Постигающий азы дзена

TermoSINteZ Синоби даоса Команда форума

Clerk Забанен

TermoSINteZ Синоби даоса Команда форума

Clerk Забанен

TermoSINteZ Синоби даоса Команда форума

Booster New Member

TermoSINteZ Синоби даоса Команда форума

Booster New Member

wsd New Member

JCronuz New Member

J0E New Member

TermoSINteZ Синоби даоса Команда форума

J0E New Member

TermoSINteZ Синоби даоса Команда форума

J0E New Member

TermoSINteZ Синоби даоса Команда форума

Войти или зарегистрироваться

Ребят, как отлаживать инжект в исходниках?

dyn New Member

TermoSINteZ Синоби даоса Команда форума

dyn New Member

EvilsInterrupt Постигающий азы дзена

TermoSINteZ Синоби даоса Команда форума

Clerk Забанен

TermoSINteZ Синоби даоса Команда форума

Clerk Забанен

TermoSINteZ Синоби даоса Команда форума

Booster New Member

TermoSINteZ Синоби даоса Команда форума

Booster New Member

wsd New Member

JCronuz New Member

J0E New Member

TermoSINteZ Синоби даоса Команда форума

J0E New Member

TermoSINteZ Синоби даоса Команда форума

J0E New Member

TermoSINteZ Синоби даоса Команда форума

Быстрый поиск