Pregunta:
Depuración de EXE con TLS
mrduclaw
2013-03-30 08:08:00 UTC
view on stackexchange narkive permalink

¿Cómo depuro un ejecutable que usa devoluciones de llamada TLS? Tengo entendido que estos se ejecutan antes de que se adjunte mi depurador.

Internet Storm Center tiene un [escrito] bastante bueno (https://isc.sans.edu/diary/How+Malware+Defends+Itself+Using+TLS+Callback+Functions/6655) de cómo puede hacer esto.
Dos respuestas:
Ange
2013-03-30 16:46:44 UTC
view on stackexchange narkive permalink

ya sea :

  • parchear una ruptura de depuración (CC int3) o un bucle infinito (EB FE jmp $) al comienzo del TLS
  • intentar establecer un punto de interrupción lo antes posible (como Opciones / Eventos / Hacer la primera pausa en / Punto de interrupción del sistema de OllyDbg), luego establezca un punto de interrupción en los inicios de TLS
  • use un complemento específico, como OllyAdvanced para OllyDbg.

Tenga en cuenta que las condiciones para la ejecución de TLS son complicadas, y la depuración puede hacer que se ejecute una TLS que de otro modo se ignoraría.

LuckyB56
2013-04-02 18:22:02 UTC
view on stackexchange narkive permalink

Si está utilizando IDA Pro, Ctrl-E (acceso directo de Windows https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf) mostrará tu punto de entrada. Puede saltar directamente a la función principal / inicio.

Igor probablemente esté mejor equipado para comentar sobre esto, pero TLS fue una de las debilidades de IDA en algún momento.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...