Fejlretning af EXE med TLS

Spørgsmål:

mrduclaw

2013-03-30 08:08:00 UTC

view on stackexchange narkive permalink

Hvordan debugger jeg en eksekverbar fil, der bruger TLS-tilbagekald? Det er min forståelse, at disse kører, før min debugger vedhæftes.

Internet Storm Center har en ret god [skriv op] (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) af, hvordan du kan gøre dette.

To svar:

Ange

2013-03-30 16:46:44 UTC

view on stackexchange narkive permalink

either :

patch en debug break (CC int3) eller en uendelig loop (EB FE jmp $) i starten af TLS
prøv at indstille en breakpoint så tidligt som muligt (som OllyDbgs valgmuligheder / begivenheder / Lav først pause ved / System Breakpoint), og indstil derefter et breakpoint ved TLS 'start
brug et specifikt plugin, såsom OllyAdvanced for OllyDbg.

Bemærk, at betingelserne for TLS-udførelse er vanskelige, og fejlretning kan medføre, at en ellers ignoreret TLS udføres.

LuckyB56

2013-04-02 18:22:02 UTC

view on stackexchange narkive permalink

Hvis du bruger IDA Pro, Ctrl-E (Windows-genvej https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) vises det dit indgangspunkt. Du kan springe direkte til Main / start-funktionen.

Igor er sandsynligvis bedre rustet til at kommentere dette, men TLS var på et tidspunkt en af svaghederne i IDA.

ⓘ

Denne spørgsmål og svar blev automatisk oversat fra det engelske sprog.Det originale indhold er tilgængeligt på stackexchange, som vi takker for den cc by-sa 3.0-licens, den distribueres under.

om - legalese