既然使用IDE,我想更多的看重的是它的调试和定位功能。其他的快捷键需要自己慢慢探索。微软不太好的地方是vscode和studio的快捷方式不太一样。
如果遇到库函数,想看看库函数的实现,怎么办? 举个例子memset函数,很常见的一个函数。
(1) F9在memset处设置断点
(2) Debug运行程序
(3) 到达断点,查看memset的反汇编
memset(&appBaseMem, 0, sizeof(appBaseMem));
00600645 push 0Ch
00600647 push 0
00600649 lea eax,[appBaseMem]
0060064C push eax
0060064D call _memset (024571FCh)
00600652 add esp,0Ch(4) F11步进_memset
024571FC jmp dword ptr [__imp__memset (1855A5B4h)](5)继续F11
583750E0 mov ecx,dword ptr [esp+0Ch]
583750E4 movzx eax,byte ptr [esp+8]
583750E9 mov edx,edi
583750EB mov edi,dword ptr [esp+4]
583750EF test ecx,ecx
583750F1 je 58375233
583750F7 imul eax,eax,1010101h
583750FD cmp ecx,20h
58375100 jle 583751E5
58375106 cmp ecx,80h
5837510C jl 5837519D
58375112 bt dword ptr ds:[5838731Ch],1
5837511A jae 58375125
5837511C rep stos byte ptr es:[edi]
5837511E mov eax,dword ptr [esp+4]
58375122 mov edi,edx
58375124 ret可以逐步调试汇编代码,查看寄存器的值。也可以查看内存的值,函数的调用堆栈等,超级强大。
从第(4)->第(5)经历了什么,后续会专门讲解,这里涉及到windows下库函数定位。
CTRL+F
全局查找
绝对的神器。
有没有被莫名的广告弹窗折磨过?有没有体验过干不掉广告的痛苦?Spy++能协助解决windows下大部分的问题。在逆向中,Spy++也是一个利器。
这里以美图秀秀为例子,点击确定可以查看样式,窗口,类,进程等信息,选择消息的话可以查看消息。
再也不用担心广告了。
注意: 这里的PID是十六进制的
Spy++可以单独使用,可通过下面的地址进行下载:
=1001.2014.3001.5501
Visual Studio的功能非常强大,要比Android Studio的功能强大很多,几乎涵盖了编程的方方面面,甚至调试windows内核也是可以的(本质上还是集成windbg),能够取代windbg。不过Visual Studio体积太大,如非必要,可能用不到这么大的工具,毕竟杀鸡不必用牛刀,但是杀牛就要用牛刀了。
更多内容,欢迎关注我的微信公众号:无情剑客。
本文发布于:2024-01-30 06:04:19,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170656586319756.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
