Artificial Intelligence / Reverse Engineering / Internet of Things / Full Stack Developer
VMWare的GDB调试器功能比较简单也比较基础,该调试器并不知道处理器和线程的任何信息(对于Windows系统),因而如果想要得到一些高等级的信息,我们需要自己做一些额外的工作。本文主要讲解了如何使用IDAPython脚本来让IDA处理已经加载的模块列表和加载符号库。
设置VM来进行调试
在进行这一步之前首先要保证你已经有了一个已经安装好的Windows(32位)的操作系统。在开始调试之前,首先要拷贝你想要看到符号的模块到系统目录下,如果你不确定要复制那些文件,可以将如下的文件复制到虚拟机目录下:位于System32目录下的nt*.exe和hal.dll文件、整个System32\drivers目录。在这里我将文件复制到了E:\虚拟机系统\Windows 7\Shar4ed dll\目录下。
编辑虚拟机的.vmx文件来激活GDB调试器功能:
图01
在脱壳的时候虽然显示的有附加数据,但是我发现脱壳之后并不需要进行修复~
用OD载入之后会中断在下面的入口点处:
00401140 > B8 D0A19900 mov eax,plistEdi.0099A1D0 ; 入口点
00401145 50 push eax
00401146 64:FF35 0000000>push dword ptr fs:[0]
0040114D 64:8925 0000000>mov dword ptr fs:[0],esp
00401154 33C0 xor eax,eax ; 单步执行到此处之后出现SE处理程序
00401156 8908 mov dword ptr ds:[eax],ecx
00401158 50 push eax
00401159 45 inc ebp
0040115A 43 inc ebx
No Download links ,so sorry~ 
这几天一直在折腾USB over Network (Server)驱动的卸载问题,发现不管是手工卸载还是使用自身的安装程序进行卸载。重新安装的时候都会导致蓝屏。最后在对CrashDump文件进行分析之后发现是vm的一个usb驱动的问题,卸载之后问题就解决了。天哪,竟然会犯这种错误~
出错误的驱动是这个文件:
Click Here to Download these plugins!
It took me two weeks to write two IDA plugins, a renew, fast IDB2Sig plugin and a new, very fast LoadMap plugin.
The IDB2SIG plugin I rewrote base on the orginal source code and idea of:
– Quine (quine@blacksun.res.cmu.edu)
– Darko
– IDB2PAT of J.C. Roberts <mercury@abac.com>
Thanks all of you very much. I think all of you will allow me to public the new source code.
The LoadMap plugin I wrote base on the idea of Toshiyuki Tega. It will supports loading and parsing VC++, Borland (Delphi/BC++/CBuilder) and DeDe map files.
And with two plugins, I need only two days to create two signature file for Delphi 6/7. Very fast and convenience. Hereafter, we can use two above plugins to create signature files, load map symbols…Source is included, and plugins are precompiled for IDA 4.5 and 5.2.
其实这个东西网上貌似也有不少的文章,其实我知道的方法应该是有4种(包括我自己的“另类”方法):
1.使用虚拟机
这是最直接的方法,将授权之后的系统制作一个虚拟机镜像,然后随身携带就可以了。当然了,那个体积貌似有点大哦~。 😎
2.取消授权
这也是网上比较流行的另外的一种方法,当然这个授权是不能直接取消了,如果直接取消了那授权就没了。还授权个p啊,具体的方法就是提前备份授权文件,让后取消授权之后再把文件拷贝回去。授权文件路径:
Windows vista/7/2008: C:\ProgramData\Apple Computer\iTunes\SC Info(隐藏文件)
Windows 2000/xp/2003 : C:\Documents and Settings\All Users\Application Data\Apple Computer\iTunes\SC Info(隐藏文件)
具体的文章可以参考这里,两种方法都介绍了。 
3.经销商的方法(方法保密不说)
4.另类方法
使用那么一个小东东实现无限授权,嘎嘎。就是下面的这个东东。
至于文件嘛,不能外放目前,嘎嘎。
QQ international v1.1 has been released for several days,till now i release my first patch .In now days i am too busy to do my personal jobs,so it takes so a long time.
What worse is that i just catch a cold when i visit Gulangyu.so bad luky.
lol, just click here to download the patch ,and then place the file in “QQIntl\Bin” directory.Finally u can run the program and click the patch button to patch the selfcheck function.
Also u can delete any plugins u dislike. After i Remove the Com.Tencent.CityWeekend, it looks much better!lol
今天在测试的时候发现IDA 5.5可以启动windbg调试器,而IDA 6.0却无法启动windbg调试器。大体看了一下可能是由于搜索路径造成的,重新将windbg安装到program files下之后问题就结局了。
网上也有关于用IDA调试驱动的文章,这里只是再整理一下,用IDA载入驱动分析完成之后选择调试器为Windbg debugger,如图1所示:
图1
然后执行菜单中的Debugger->Debugger options打开如图2所示的设置窗口。
图2