摘要:引用原文地址 : https://msdn.microsoft.com/en-us/library/x98tx3cf.aspx 1. 在program中严格按下面顺序include 2. 必须是Debug版的build Q : LiteServer遍Debug可能会遇到一些问题 A : 可以用来验证
阅读全文
随笔分类 - 逆向调试
摘要:1. 问题 一些程序经过脱壳后(如用OD的dump插件),一些导入表信息丢失了,导致拖入IDA后看不到API的信息(如右图所示,第一个红圈处实际是GetCurrentProcessId),给分析造成极大影响。 2. 分析 从OD来看,41F480处的值就是API GetCurrentProcessId的地址,也就是壳修改后的导入表的位置,该地址在.rsrc Section内,即程序的...
阅读全文
摘要:最近跟踪了一个程序的界面卡死问题,该卡死偶尔出现,在抓到一次dump后用windbg载入分析,打印出函数调用堆栈后,一眼可以看出是临界区死锁了。代码:0:000:x86>kbChildEBPRetAddrArgstoChild0032dd0c779ed9930000071000000000000...
阅读全文
摘要:1、故事背景 最近同事的代码中碰到一个bug会导致奔溃的bug,从dump上看是由于某个对象的堆内存指针被释放了,但代码仍调用了该对象指针的虚函数,从而引起内存访问违法崩溃,由于该类被大量使用,无法直接定位到具体哪个类被提前释放了,从而打算开启堆页检查,跟踪该对象堆内存指针被释放的代码位置,从而...
阅读全文
摘要:1、现象 最近项目中调出一个bug,某些时候程序会卡死不动,用windbg进行加载后用 ~*kb 命令列出所有的线程栈调用,发现有多个线程调用 WaitForMultipleObjects 在等待同一个内核对象: 输入 !handle cc f 命令列出该内核对象的详细信息: 发现是是一个Mute...
阅读全文
摘要:Who is blocking that Mutex? - Fun with WinDbg, CDB and KD05Aug 2006ByIngo RammerI'm currently toying with the idea of creating a small frontend to SOS...
阅读全文
