使用 TLS 调试 EXE

逆向工程 视窗 动态分析 可执行
2021-06-19 05:01:17

如何调试使用 TLS 回调的可执行文件?我的理解是这些在我的调试器附加之前运行。

2个回答

任何一个:

  • 在 TLS 开始时修补调试中断 (CC int3) 或无限循环 (EB FE jmp $)
  • 尽量早点设置断点(比如 OllyDbg 的 Options/Events/Make first pause at/System Breakpoint),然后在 TLS 的开始设置断点
  • 使用特定的插件,例如 OllyAdvanced for OllyDbg。

请注意,TLS 执行的条件很棘手,调试可能会导致执行否则会被忽略的 TLS。

如果您使用的是 IDA Pro,Ctrl-E(Windows 快捷方式https://www.hex-rays.com/products/ida/support/freefiles/IDA_Pro_Shortcuts.pdf)它将显示您的入口点。您可以直接跳转到 Main/start 功能。