返回信息流想调一下gh0st的代码
把网上下的代码中的被控端部分拿出来调试
本来只有win32 console和win32 Release
没有debug 所以直接调试会显示提示”xxx.exe does not contain debugging information”
然后我按照网上说的
选择Settings C/C++标签里的Debug info选Program Database
Link标签里的Category选Debug,然后选中Debug info复选框和Microsoft format单选框。
然后可以调试了
但是问题也来了
比如 在某个地方有这句: Send(DriverList,dwOffset)
跟到此处的DriverList 地址假设为 0100f880 dwOffset居然显示symbol “dwOffset” not found!!!很诡异
我F11跟到Send函数里面时,这个函数的第一个参数的地址变了
但是值也变了。。。就是说形参和实参值不一样,。,,
明明没有对DriverList 做任何操作
这个函数里面又调用了另一个底层的send,进去之后也是形参和实参的值也不一样。。。
里面还有些内部变量也是显示symbol “xxxxx” not found
问题是程序能正常运行。
请问各位大牛是为什么不能正常调试呢?难道是传说中的反调试?但是代码都给出来了,不会不想让人调试吧?或者是我之前改vc的Settings 造成的?
这是一条镜像帖。来源:北邮人论坛 / security / #22761同步于 2009/6/3
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Security机器人发帖
请问一个调试的问题
redliuzt
2009/6/3镜像同步4 回复
订阅后,新回复会通过你的通知中心匿名送达。
4 条回复
显示汇编代码,调试汇编版本,跟着汇编指令一条一条单步。
【 在 redliuzt (back in the U.S.S.R) 的大作中提到: 】
: 想调一下gh0st的代码
: 把网上下的代码中的被控端部分拿出来调试
: 本来只有win32 console和win32 Release
: ...................
既然有源码还要使用这种方式岂不是有点违背公布代码的初衷?
不过我还是先试试ollydbg吧
【 在 flyingkisser 的大作中提到: 】
: 显示汇编代码,调试汇编版本,跟着汇编指令一条一条单步。
源码里看不到对形参的改变,你不用汇编用什么。
用不着上OD,VC就可以汇编级调试。
源码,fuck,能调试有源码的东西太幸福了。
【 在 redliuzt (back in the U.S.S.R) 的大作中提到: 】
: 既然有源码还要使用这种方式岂不是有点违背公布代码的初衷?
: 不过我还是先试试ollydbg吧
谢谢猫哥了
我就是好奇为什么他可以做到这样
话说我太菜还不知道vc可以汇编调试
不过后来我自己新建工程 把原来代码拷进去 改了一些ifdef之类的东西就可以正常调试了。。。
【 在 flyingkisser (齐天大猫) 的大作中提到: 】
: 源码里看不到对形参的改变,你不用汇编用什么。
: 用不着上OD,VC就可以汇编级调试。
: 源码,fuck,能调试有源码的东西太幸福了。
: ...................