The art of Conditional breakpoint ( Rapidly reversing )

windbg에서 비교적 용량이 큰 어플리케이션을 분석할때 유용하게 사용되는 브레이크 포인트를 정리.

# bp kernel32!CreateFileW ".block {as /mu FName poi(@esp+4)}; .block {.if ( $spat( \"${FName}\", \"*3.doc\" ) ) { .echo FName; ad *; } .else { .echo FName ; ad *; g;}};"

# ba r4 12345678
=> 12345678 번지에 대해 4byte 읽을 때 브렉

address 에서 특정 레지스터의 값이 41414141로 taint되면 bp 한다. (반복문에서 사용)
bp address ".if (poi(esi+8) == 0x41414141) {} .else {gc}"


To be continued

by codexb | 2012/10/07 16:34 | System | 트랙백

트랙백 주소 : http://leony.egloos.com/tb/5683647
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

◀ 이전 페이지          다음 페이지 ▶