170509 汇编-断点

1625-5 王子昂 总结《2017年5月9日》 【连续第220天总结】

A.加密与解密 OD断点100%

B.消息断点：

Windows本身是由消息驱动的，如果调试时没有合适的断点，可以尝试消息断点。消息断点使得当某个特定窗口函数接收到某个特定消息时程序中断

当用户单机按钮、移动鼠标或向文本框中键入文字时，一条消息就会被发送给当前的窗体。所有发送的消息都有4个参数：窗口句柄、消息编号、两个32位长度的参数。Windows通过句柄来标识它代表的对象。

当用鼠标左键单击按钮并松开时，会发送WM_LBUTTONUP这个消息。

消息捕捉到以后，会处于系统底层代码里。（因为是调用的WIN API）。这时企图使用快捷键返回到TraceMe程序的领空代码里是徒劳的

VC可执行文件的执行代码是存放在代码段里的，一般是.text区块里。当从系统代码回到应用程序代码段的时候，对代码段下内存断点就能返回应用程序的代码领空。

条件断点：

条件断点是一个带有条件表达式的普通INT3断点。OlleyDbg的条件断点可以按寄存器、存储器、消息等设断。当调试器遇到这类断点时，它将计算表达式的值，如果结果非零或者表达式无效则断点生效。

OlleyDbg支持显示参数相对于当前ESP的地址。如要得到第一个参数的值，可以使用[ESP+4]来获得。如果还要得到此处地址所指的字符串，则必须用[[ESP+4]]来表示。

eg:[STRING [ESP+4]]=="C:\\1212.txt"

STRING前缀在OD中的解释是以0作为结尾的ASCII字符串

条件记录断点：

条件记录断点除了具有条件断点作用，还能记录断电处函数表达式或参数的值。也可以设置通过断点的次数，每次符合暂停条件时，计数器减一

C.明日计划

加密与解密插件和run trace

PyQt5