开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在免疫调试器中提取或读取被程序调用的文件

在免疫调试器中提取或读取被程序调用的文件，可以通过以下步骤实现：

首先，需要使用免疫调试器，例如OllyDbg、IDA Pro等，来调试目标程序。免疫调试器可以让我们观察程序的执行过程，并且可以在运行时对程序进行修改和分析。
打开免疫调试器，并加载目标程序。通常，我们可以通过菜单或快捷键选择“打开”或“加载”选项，然后选择目标程序的可执行文件。
在免疫调试器中，我们可以设置断点来暂停程序的执行，以便我们可以检查程序的状态和内存内容。在这个问题中，我们希望提取或读取被程序调用的文件，因此我们可以在文件读取相关的函数上设置断点。
通过分析程序的代码，我们可以确定程序中用于读取文件的函数。常见的文件读取函数包括fopen、fread、ReadFile等。我们可以在这些函数的调用处设置断点。
当程序执行到设置的断点处时，免疫调试器会暂停程序的执行，并显示相关的调试信息。我们可以查看寄存器的值、内存的内容等来获取有关文件的信息。
在免疫调试器中，我们可以使用内存窗口或寄存器窗口来查看文件的内容。通过查看内存地址，我们可以找到文件在内存中的位置，并且可以将其导出保存到本地。

总结起来，提取或读取被程序调用的文件需要使用免疫调试器来调试目标程序，并在文件读取相关的函数上设置断点。通过分析调试信息和查看内存内容，我们可以获取文件的信息并将其导出保存到本地。

腾讯云相关产品和产品介绍链接地址：

腾讯云调试器（https://cloud.tencent.com/product/debugger）
腾讯云云服务器（https://cloud.tencent.com/product/cvm）
腾讯云对象存储（https://cloud.tencent.com/product/cos）
腾讯云安全加密服务（https://cloud.tencent.com/product/kms）

相关搜索:从FFPROBE生成的JSON文件中读取和提取特定信息的Python程序使用不能在循环中工作的系统调用从文件中读取备用字符的C程序在调用程序中编写或定义变量的被调用程序？如何判断URL是否指向特殊的系统文件夹，如沙盒应用程序中的Documents或Desktop？如何在.txt文件中读取数值，并在同一程序中通过ifstream读取相同的数据如何在Angular 8中检测angular中的值是否被用户更改或被方法调用更改如何在angular js的.run方法中调用读取json文件的工厂?这是可能还是不可能？如何在angular2中重定向或调用ts文件中的routerlink 如何在Django中读取或保存MultiValueDict中的文件如何在Excel VBA中合并或读取带有换行符/回车符(CR)的csv文件？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

恶意代码分析实战总结

（1）如果安装了VMware Tools，则使用CreateToolhelp32Snapshot、Process32Next扫描进程列表，查看是否有VMwareService.exe、VMwareTray.exe和VMwareUser.exe （2）查看网卡地址是否以00:0C:29开头，或查看其它硬件版本（3）探测内存痕迹，搜索含有VMware的字符串（4）Red Pill反虚拟机技术->漏洞指令sidt，根据返回的idtr值不同，在多核处理器上无效（5）No Pill技术->漏洞指令sldt，主机系统上的LDTR值为0，虚拟机中不为0 （6）查看查询I/O通信端口，监视in指令，第二个操作数为VX （7）查看str指令，主机和虚拟机中返回值不一样，str指令用来从任务寄存器中检索段选择子

02

网络安全自学篇（六）| OllyDbg动态分析工具基础用法及Crakeme逆向破解

OllyDbg是一个新的动态追踪工具，将IDA与SoftICE结合起来的思想，Ring 3级调试器，非常容易上手，是当今最为流行的调试解密工具之一。它还支持插件扩展功能，是目前最强大的调试工具之一。

01

详解反调试技术

反调试技术，恶意代码用它识别是否被调试，或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作，因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析，当恶意代码意识到自己被调试时，它们可能改变正常的执行路径或者修改自身程序让自己崩溃，从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术，同时也会介绍一些逃避反调试的技巧。一.探测Windows调试器恶意代码会使用多种技术探测调试器调试它的痕迹，其中包括使用Windows API、手动检测调试器人工痕迹的内存结构，查询调试器遗留在系统中的痕迹等。调试器探测是恶意代码最常用的反调试技术。 1.使用Windows API 使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了这样一些API，应用程序可以通过调用这些API，来检测自己是否正在被调试。这些API中有些是专门用来检测调试器的存在的，而另外一些API是出于其他目的而设计的，但也可以被改造用来探测调试器的存在。其中很小部分API函数没有在微软官方文档显示。通常，防止恶意代码使用API进行反调试的最简单的办法是在恶意代码运行期间修改恶意代码，使其不能调用探测调试器的API函数，或者修改这些API函数的返回值，确保恶意代码执行合适的路径。与这些方法相比，较复杂的做法是挂钩这些函数，如使用rootkit技术。 1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中，函数返回0；如果调试附加了进程，函数返回一个非零值。

04

[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解

系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等，通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步。前文普及了IDA Pro反汇编工具的基础用法，并简单讲解一个EXE逆向工程解密实战方法。这篇文章将详细介绍OllyDbg的基础用法和CrakeMe案例，逆向分析的“倚天屠龙”，希望对入门的同学有帮助。

01

[系统安全] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~

01

Windows应用程序调试原理全景图

在Windows上做开发的程序猿们都知道，x86架构处理器有一条特殊的指令——int 3，也就是机器码0xCC，用于调试所用，当程序执行到int 3的时候会中断到调试器，如果程序不处于调试状态则会弹出一个错误信息，之后程序就结束。使用VC开发程序时，在Debug版本的程序中，编译器会向函数栈帧中填充大量的0xCC，用于调试使用。因此，经常我们的程序发生缓冲区溢出时，会看到大量的“烫烫烫…”，这是因为“烫”的编码正是两个0xCC。

02

再见，本地环境！腾讯云全球首发：Serverless 在线远程调试

在线调试是云函数为了解决用户在本地搭建调试环境复杂，云上环境不便于定位等问题推出的功能。云上的各种服务，在本地无法完全模拟，程序员大都遇到过本地和远程环境运行结果不一致的情形，追查起来费时费力，不仅效率低下，也造成非常郁闷的工作体验。所以，能否直接在远程环境中完成全部的开发流程，是提升开发体验的最直接手段，然而在其他问题都解决后，远程调试功能是最后的一公里。本篇文章将以一段内存泄漏的代码为例，给大家展示如何使用云函数在线调试功能定位和解决问题。Node10 及以上版本的 runtime，使用 Chr

02

原来gdb的底层调试原理这么简单

这篇文章我们来聊聊大名鼎鼎的 GDB，它的豪门背景咱就不提了，和它的兄弟 GCC 一样是含着金钥匙出生的。相信每位嵌入式开发工程师都使用过 gdb 来调试程序，如果你说没有用过，那只能说明你的开发经历还不够坎坷，还需要继续被 BUG 吊打。

04

arm裸板驱动总结(makefile+lds链接脚本+裸板调试)

在裸板2440中,当我们使用nand启动时,2440会自动将前4k字节复制到内部sram中,如下图所示: 然而此时的SDRAM、nandflash的控制时序等都还没初始化,所以我们就只能使用前0~40

09

32位汇编第一讲x86和8086的区别,以及OllyDbg调试器的使用

09

逆向工厂（一）：从hello world开始

* 本文原创作者：追影人，本文属FreeBuf原创奖励计划，未经许可禁止转载前言从本篇起，逆向工厂带大家从程序起源讲起，领略计算机程序逆向技术，了解程序的运行机制，逆向通用技术手段和软件保护技术，

08

为异常处理做准备,熟悉一下WinDbg工具

调试器编写第一讲,调试器基本框架

06

发布更新｜腾讯云 Serverless 产品动态 20201222

一、云函数支持 MPS 触发器正式发布发布时间： 2020-12-11 产品背景：为了更好的满足对MPS 消息回调的诉求，支持回调通知、接收消息，消息处理等拓展能力，新增MPS触发器。产品功能：通过云函数（SCF）+ MPS 结合的方式，可帮助用户快速完成对视频处理 MPS 产生的回调事件进行处理及操作。MPS 触发器将事件推送到 SCF ，再通过 Serverless 无服务架构的函数计算提供回调事件的处理及响应，深度优化了 MPS 事件通知的解决方案。典型场景：MPS 上传文件时转码结果

03

加壳脱壳笔记

UPX、ASPack、Petite、WinUpack（Upack）、Themida

04

CTF实战25 二进制软件逆向分析工具及实战

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试，请勿用于其他非法用途，如用作其他非法用途与本文作者无关

01

一口气看完45个寄存器，CPU核心技术大揭秘

前段时间，我连续写了十来篇CPU底层系列技术故事文章，有不少读者私信我让我写一下CPU的寄存器。

02

32位汇编第五讲,逆向实战干货,(OD)快速定位扫雷内存.

本文通过分析扫雷游戏的实现逻辑，研究了其背后的算法设计，并利用OD分析工具进行了详细的步骤拆解。通过定位数据结构，我们成功获取了扫雷游戏所在的内存区域，并发现了其算法逻辑。通过分析得出，扫雷游戏的实现过程包括初始化、雷区生成、玩家操作及计算、以及绘制等关键步骤。我们还使用OD分析工具深入探讨了扫雷游戏的内存地址和算法结构，并给出了相应的解决方案。

09

软件逆向基础

动态分析技术：指的是使用调试工具加载程序并运行。随着程序运行，调试者可以随时中断目标的指令流程，以便观察相关计算的结果和当前的设备情况。静态分析技术：是相对于动态分析而言的。由于在实际分析中，很多场合不方便运行目标（例如病毒程序，设备不兼容，软件的单独某一模块）。那么这个时候静态分析技术就该上场了！

03

深入iOS系统底层之XCODE对汇编的支持介绍

一个好的IDE不仅要提供舒适简洁和方便的源代码编辑环境，还要提供功能强大的调试环境。XCODE是目前来说对iOS应用开发支持的最好的IDE(虽然Visual Studio2017也开始支持iOS应用的开发了)，毕竟XCODE和iOS都是苹果公司的亲生儿子。唯一要吐槽的就是系统和编译环境绑的太死了，每当手机操作系统的一个小升级，都需要去升级一个好几G的新版本程序，这确实是有点坑爹！目前市面上有很多反编译的工具，比如IDA、Hopper Disassembler等还有操作系统自带的工具诸如otool、lldb。这些工具里面有的擅长静态分析有的擅长调试的，这里就不展开分析了。如果在程序运行时去窥探一些系统内部实现以及做实时调试分析我觉得XCODE本身也非常的棒，既然深入系统我们必须要了解和学习一些关于汇编的东西，那么就必须要了解和掌握一些工具，而XCODE其实就是你手头上最方便的工具之一。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭