OD全称Ollydbg是反汇编常用的工具,经瑺用作动态调试
首先,对于调试我们有两种方式:
1.直接打开文件进行调试:
2.附加进程进行调试:
这里我们使用打开的方式,打开一个程序:
可以看到这里有很多窗口,上面都对它们标注下面我一个个介绍它们:
反汇编窗口:显示反汇编指令的区域
反汇编信息窗口:提供当前所选的反汇编指令的一些信息。
寄存器窗口:提供寄存器信息
数据窗口:显示一些程序的数据区的数据
堆栈窗口:显示堆栈信息
对于反汇编窗口,如果我们要跳到某个地址可以使用快捷键CTRL+G:
如果要对某个指令进行下断点调试,可以使用F2,然后再点击B这个按钮查看斷点信息:
对于一些Windows系统的API调试我们可以在Command框使用bp +API的方式进行调试:
除此之外,还有一些我们在调试中常使用的快捷键:
对于命令栏峩们也有一些常用的指令:
对于查看反汇编代码,如果我们要返回上一步所看的代码按-号即可,同理下一步则是+号。
请我最近得到一项目源代码,可程序在断点设定处不停可其它我自己的程序都停啊!我找了半天选项都找不箌,苦恼...哪 位告诉我
本版专家分:31206
你在编译的时候,是不是包含了调试信息到Project Options中设置一下就可以。
如果不包含调试信息嘚话是不会再断点之处停下来的。
本版专家分:31206
非常感谢您!(小弟只能给您那么多分了:)
我以前是VB的程序员刚开始莋Delphi.非常想与您交个朋友(不过我一定不会太打扰您的),我在北京一家软件公司工作您呢? 再次感谢
本版专家分:31206
呵呵,不用谢以后多交流。我在湖南
Debugging Tools for Windows是微软发布的一套用于软件调试嘚工具包(后面如果没有指明那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目由于进行了IDT中鍵盘鼠标中断的Hook,使用Softice调试时造成会造成影响只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直是开发过程中的必备这里我毫不掩饰的说“最强”,可能很多通过逆向工作而接触调试的朋友不会认同但是我相信随着对WinDbg了解的加深,以及对這套工具在软件开发中应用的了解他们也会和我有一样的观点。
一直以来软件调试技术在软件开发者中都没有得到足够的普及和重视,互联网上能找到的系统描述的资料也较少随着国内软件行业整体的发展和进步,这些技术慢慢开始得到推广2008年出版的有关调试的数據比以往都要多。我有幸拜读了Raymond的以及熊力的,获益良多 这几年的工作中也积累了一些关于Windows调试工具的知识,希望能够将这些东西进荇一些分享因此,利用几个月空闲时间翻译了WinDbg文档中上半部调试器配置、使用和命令介绍的内容同时准备写一些关于WinDbg调试工具的初级攵章。希望能够为对调试技术感兴趣而又苦于没有资料的朋友提供一些帮助
特别感谢我的前同事小喂。虽然他第一条串口线还是我焊的但是他对于WinDbg的使用和了解程度很快就超过了我。在相当长时间的共事和讨论中让我学到了很多。
Windows调试工具包中的调试器包括WinDbg、KD、CDB和NTSD其中, KD用于内核调试;CDB和NTSD用于用户态调试在功能和使用上几乎完全一致;WinDbg是内核调试器和用户态调试器的综合体,由于功能完善并且具囿图形界面所以是最常用的工具。它们能够在x86、Itanium和x64机器上的所有NT平台操作系统中运行
另外,工具包中还有一些小工具下面是常用的幾个:
? KDbgCtrl:用于控制和配置内核调试的一些参数。例如是否只有当发生异常时才会启用内核调试、设置DbgPrint缓冲区大小、如何处理用户模式异瑺等等
? ADPlus:这是一个VB脚本,可以为一个或多个进程自动创建内存dump
? SymStore:用于创建符号存储。当需要创建自己的符号存储时就要用到它了
? SymProxy:用于在网络中创建单独的HTTP符号服务器,以供所有调试器使用该工具特别适合企业级应用的环境,可以将多个符号存储通过单一的接入点提供使用
可能很多已经习惯使用SoftICE、OllyDbg、IDE调试器的朋友会提出这样的疑问:在这么多调试器中,为什么要选择WinDbg它究竟有什么特点?
設想一下下面几个场景:
? 公司的软件针对企业级用户该客户在地球另一半的美国。有一天客户抱怨了一个BUG但是从抓取的dump又没办法看絀个所以然,想进行动态调试查找原因公司预算有限,不能让你过去出差顺便旅游、对方公司有防火墙不允许外部连接,等等等等。怎么办?
? 项目规模很大涉及到的模块多,版本也多并且是由不同部门开发的。这些部门可能遍布五湖四海如何在调试其中某個模块时,能够快速获得它的符号和源文件而不用每次都从一大堆不同版本的文件中辛苦找寻?调试到某个阶段突然发现这不是自己嘚模块出现问题,如何快速知道这个问题应该找谁解决项目某些重要模块有保密需要,如何控制调试人员访问符号和源文件的权限
? 驅动程序怎么才能源码调试?SoftICE不支持新系统我要在Vista上调试怎么办?
? 软件中包含一个Windows服务组件但是每次还没有登陆到桌面之前就崩溃叻,怎么进行动态调试
? 我想调试Explorer,调试IE调试CSRSS,调试……但是调试器一附加上去,系统就会出问题怎么办?
? 公司发布的软件囿用户反馈和XXX安全软件冲突老是造成系统崩溃,但是搭建环境之后却又没有办法重现;对方是个普通用户鼠标都抓得不太稳。用户很火夶闹着要抓个老虎到公司来找你上司做俯卧撑,后果很严重怎么办?
在现实环境中有很多复杂的调试场景,我们需要专业级的调试器来解决这些问题而WinDbg恰恰提供了这种商业软件环境下的专业级软件调试功能,它和其他很多我们熟知的调试器的区别也在于此
我们将WinDbg囷其他调试器分作内核调试器和用户态调试器两类来进行比较。
系统和平台支持 x86、Itanium和x64机器上的所有NT平台操作系统 x86由于已停止更新,新版夲操作系统中支持不佳老系统中也常常遇到兼容性问题
符号和源码支持 完美支持符号调试和源码调试,可直接使用微软公共符号 支持符號调试和源码调试但是需要先转换符号格式
远程调试 通过和远程工具、转发器的配合,实现各种灵活的远程调试方式以支持不同的网絡环境 通过Virtual SoftICE支持基于网络的远程调试
由于WinDbg功能相当复杂,有很多方面并不能一一比较例如非侵入式调试、通过WinDbg控制CDB和NTSD来调试系统服务、創建和分析Dump文件等等。
总体来说WinDbg更适合作为软件项目开发和维护过程中的调试工具使用,而OllyDbg更适合逆向工程
根据我个人对WinDbg的使用经验來说,它更适合作为开发维护的辅助工具来使用
如果要进行用户态的逆向工程,推荐使用OllyDbg、IDA这些拥有强大汇编程序分析能力的工具
WinDbg更適用于以下这些场合:
? 内核驱动的调试,以及对驱动进行逆向工程时进行动态调试
? 疑难BUG的调试如死锁、COM调用、资源泄露、堆栈或者堆溢出
? 对调试目标基本不造成影响的非侵入式调试 、 符号、源码和可执行映像路径设置
四 使用WinDbg开始调试工作之前,最重要的就是配置好各种环境了这使得调试器可以正确识别调试目标中的各种变量、函数的断点等等,使得我们能够进行符号化调试或者源码调试而不是呮能在一堆汇编代码中转圈。
首先来看一下未设置环境之前的样子使用刚才说的TestDebug1项目,为了对比更清晰用Release进行编译,链接选项中选中苼成map文件和调试信息如下:
在C/C++选项卡中设置如下:
可以看到,调试器自动中断下来的位置并不是程序入口点这是由WinDbg实现造成的,这里先不管它
调试器命令窗口中可以看到,我们还没有设置符号路径所以WinDbg目前还找不到TestDebug1.exe的任何符号文件。如果想在main函数的断点下断这时僦不能使用符号,而只能直接使用main的地址
使用命令bp 在main函数的断点设置断点,然后F5执行就可以中断到main的入口处了断点设置和基本操作我們将在后面介绍。可以在反汇编窗口中看到这样的内容:
由于没有加载任何符号所以我们看到的都是一堆反汇编代码和地址。在上一篇Φ已经介绍过WinDbg不像OllyDbg这些调试器一样拥有强大的反汇编分析能力,所以仅仅靠这些看起来一团乱麻的反汇编代码调试工作是很难开展下詓的。
要想在WinDbg中看到程序中的符号必须通过命令或者WinDbg菜单设置符号路径。如果还设置了Microsoft公共符号存储的话我们不但能够看到自己程序Φ的符号,还能够看到Windows平台代码中的符号这对于调试会提供很好的帮助。
完成之后在命令窗口输入.reload命令我们可以看到反汇编窗口的内嫆发生改变:
这里就已经可以看到TestDebug1.exe中的函数的断点、变量名这样的符号了。而我们也可以通过bp main这样的命令直接使用符号来操作调试器
另外,在Local、Watch等窗口中也可以直接使用符号名查看到变量的值、在Call Stack窗口中可以看到函数的断点名等等。
通过上面的设置我们可以对程序进荇符号化调试。如果拥有程序的代码还可以通过设置源码路径来进行源码级调试。
确定之后如果当前指令指针在源文件的代码范围内,就会自动跳出源文件窗口如果没有跳出,那么可以通过File->Open Source File…菜单手动打开源文件由于刚才设置的断点还没有删除,所以在源码窗口也能口看到设断的行被高亮了
之后就基本上可以完全通过源码窗口进行设置断点、查看变量、跟踪代码等操作比只有符号的时候方便了很哆。
除了使用自己程序的符号之外调试时还可以使用微软提供的Windows系统代码的符号。这需要修改一下我们设置的符号路径最方便的办法昰使用.symfix命令。
注意位于764e8ccf处的那个call现在只能看到调用了kernel32某个偏移处的地址。
使用命令.symfix+ d:\Symbols命令注意加号要紧靠前面的文本。d:\Symbols是用来保存下载嘚符号文件的目录可以修改成自己需要的路径。再来打开符号路径窗口我们可以看到调试器自动添加了一些内容:
自己在源码路径中加入这些新的内容也可以实现相同的效果。详细的原理请参考WinDbg帮助文档关于符号服务器设置的部分内容
接下来再次使用.reload命令重新加载符號,第一次使用到的符号文件会从网上自动下载下来所以可能有时候会等待一会。完成之后可以看到反汇编窗口中出现了新的符号内嫆:
工作空间(Workspace)是用来保存WinDbg中工作环境的工具。例如习惯的窗口布局方式、符号路径、异常处理的设置等等都可以通过工作空间保存下来,在下次调试的时候就不用再次设置了
相关的设置都可以通过WinDbg菜单来完成,有下面几个:
? Save Workspace:按默认的方式保存当前的工作空间下次洅打开相同的调试目标时,就会自动打开这个Workspace
? Delete Workspace:删除当前保存的工作空间。这里可以查看到所有默认保存和另存为的工作空间用来進行清理是很方便的。
在没有调试目标的时候调整WinDbg的窗口布局等等设置的话会保存为默认的工作空间。下一次打开新目标的时候就会使用这个设置。通常我们可以设定一个默认的工作空间然后为各个单独的任务保存另外的设置。
