+ Reply to Thread
Results 1 to 4 of 4

Thread: Immunity Debugger

  1. 24-03-2013 21:07 #1
    vaxavan

    Message Immunity Debugger

    Пишу скрипт под Immunity Debugger. В скрипте использую setHardwareBreakpoint() - immunity показывет,что бряк сработал в модуле ntdll,но регистр EIP не поменялся (перед срабатыванием и после : значение одно и тоже). Как поставить бряк в main module процесса и отследить, что он сработал???
    И что не так делаю:

    regs = imm.getRegs()
    for reg in regs:
    imm.log("Register %s : 0x%08X " % (reg,regs[reg]))
    teb = imm.getCurrentTEBAddress()
    imm.setHardwareBreakpoint( teb, 2, 2)
    imm.run()
    for reg in regs:
    imm.log("Register %s : 0x%08X " % (reg,regs[reg]))
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  2. 25-03-2013 02:19 #2
    root
    root's Avatar

    Default Re: Immunity Debugger

    Пишу скрипт под Immunity Debugger. В скрипте использую setHardwareBreakpoint() - immunity показывет,что бряк сработал в модуле ntdll,но регистр EIP не поменялся (перед срабатыванием и после : значение одно и тоже).
    После "imm.run()" не хватает вызова "regs = imm.getRegs()".

    Как поставить бряк в main module процесса
    Что такое "main module"? EP? Тогда, так:

    Code:
    name = imm.getDebuggedName()
mod = imm.getModule(name)
ep = mod.getEntry()

imm.setHardwareBreakpoint(ep)
    и отследить, что он сработал???
    Если любой бряк сработает, то "imm.run()" прекратит свою работу. Для проверки того, что сработал именно твой бряк - проверяй по EIP.
    Last edited by root; 25-03-2013 at 02:28.
    Успех – это путь от провала до провала без потери энтузиазма. (В. Черчиль)

    Не бойся идти медленно, бойся остановиться. (Китайская пословица)

    When you lose fun and start doing things only for the payback, you're dead. (c) TCLH (Phrack 65, Intro)
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  3. 25-03-2013 20:59 #3
    vaxavan

    Default Re: Immunity Debugger

    Спасибо большое.
    Вот, и ещё один вопрос возник - как удалить аппаратный бряк(setHardwarebreakpoint(...))??
    Ведь disableBreakpoint() и deleteBreakpoint() применяются для обычных брейкпоинтов...
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
  4. 26-03-2013 01:48 #4
    root
    root's Avatar

    Default Re: Immunity Debugger

    В ручную... А так самому интересно, по крайней мере, в сорцах такой функции нет.
    Last edited by root; 26-03-2013 at 01:51.
    Успех – это путь от провала до провала без потери энтузиазма. (В. Черчиль)

    Не бойся идти медленно, бойся остановиться. (Китайская пословица)

    When you lose fun and start doing things only for the payback, you're dead. (c) TCLH (Phrack 65, Intro)
    Reply With Quote Reply With Quote   Blog this Post   Thanks  
+ Reply to Thread
« Previous Thread | Next Thread »

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts

Forum Rules

All times are GMT. The time now is 01:33
vBulletin® Copyright ©2000 - 2018
www.reverse4you.org