IDA动态调试
IDA动调基本知识
IDA(Interactive DisAssembler)是一款功能强大的逆向工程工具,它提供了丰富的动态调试功能,允许分析人员在程序运行时深入分析和调试二进制文件。以下是对IDA动态调试功能的详细介绍:
打开IDA并加载要调试的二进制文件或动态链接库(DLL)。
进入Debugger选项 点击select debugger
这里选择第三个 并且点击OK
重新进入Debugger选项
点击带有绿色三角符号的Start process即可开始调试程序
例题dynamic.exe
我们来写一个题目来练练手吧!
将exe文件拖入ida 进入主函数 F5查看伪c代码
在sub_14001129E(v7, 12i64, v8)处打断点
动调操作按照上面的做就可以 点击带有绿色三角符号的Start process开始调试程序
右击数据窗口,选择Synchronize with
当程序暂停在断点时,IDA的调试器窗口将更新以显示当前的程序状态,包括寄存器、内存、堆栈和调用堆栈等。Synchronize with就可以查看与寄存器同步的信息
或者这样也可以
点击RBP运行 得到flag
在刚开始接触这里我很疑惑为什么有那么多寄存器为什么要选择RBP 直到我去问了组长才知道为什么
通用寄存器:共有rax、rbx、rcx、rdx、rsi、rdi、rbp、rsp、r8、r9、r10、r11、r12、r13、r14、r15这16个寄存器,CPU对它们的用途没有做特殊规定,可以自定义其用途(其中rsp、rbp这两个寄存器有特殊用途)。
其中,rsp栈顶寄存器以及rbp栈基寄存器都和函数调用栈相关,其中rsp寄存器一般用来存放函数调用栈的栈顶在内存中的地址,rbp寄存器通常用来存放函数的栈帧在内存中的起始地址。
所以只能通过RBP或者RSP查看更多的信息
flag就找到了
我们也可以换X64dbg动态调试
X64dbg调试
关于x64dbg调试技巧我在另外一篇博客有介绍 这里不做赘述
http://t.csdnimg.cn/RwxQk
先查找可疑字符串
找到了和flag有关的字符串
双击进去
在00007FF69B251F04地址处下断点
F9多跑几次 发现flag
