Reverse engineering 当堆栈中出现某些字符串时,如何在windbg中设置breakepoint?
我想跟踪一个可执行文件,加载很多dll。我知道这个exe文件,打开一个.txt文件读取一些元素。我想知道哪个函数能做到这一点。因为有很多dll,我无法跟踪每个dll的函数来找到它。因此,我想找到一种方法,在堆栈中看到的某个“.txt”点上设置断点,以查找打开或使用“.txt”文件的函数。 有什么办法吗?Reverse engineering 当堆栈中出现某些字符串时,如何在windbg中设置breakepoint?,reverse-engineering,windbg,Reverse Engineering,Windbg,我想跟踪一个可执行文件,加载很多dll。我知道这个exe文件,打开一个.txt文件读取一些元素。我想知道哪个函数能做到这一点。因为有很多dll,我无法跟踪每个dll的函数来找到它。因此,我想找到一种方法,在堆栈中看到的某个“.txt”点上设置断点,以查找打开或使用“.txt”文件的函数。 有什么办法吗? 在另一个世界中,如果将某个已知值传递给未知函数,有没有办法设置断点?您应该能够在CreateFileA CreateFileW上设置断点,并检查filename参数以确定它是否处理您感兴趣的tx
在另一个世界中,如果将某个已知值传递给未知函数,有没有办法设置断点?您应该能够在CreateFileA CreateFileW上设置断点,并检查filename参数以确定它是否处理您感兴趣的txt文件。如果您想检查任何加载的模块,还应该能够在每次加载新库时设置一个自动断点 您应该能够在CreateFileA CreateFileW上设置断点,并检查filename参数,以确定它是否处理您感兴趣的txt文件。如果您想检查任何加载的模块,还应该能够在每次加载新库时设置一个自动断点 我想看看Rohitab API监视器。将打开文件的所有函数添加到跟踪函数列表中,如OpenFile、ReadFile、ReadFileEx……据我所知不是这样,但可能更容易删除对.txt文件的所有权限,并在尝试读取该文件时中断异常。如果撤销权限,则可能会在读取前创建时失败。procmon add filter path=如果应用程序直接调用syscenter+1@blabb,则文件路径应该会产生更好的结果,否则监视器可能会失败。使用ProcMon查找您感兴趣的特定调用的确切堆栈跟踪。然后调试/反转/不管它是什么。我会看看Rohitab API监视器。将打开文件的所有函数添加到跟踪函数列表中,如OpenFile、ReadFile、ReadFileEx……据我所知不是这样,但可能更容易删除对.txt文件的所有权限,并在尝试读取该文件时中断异常。如果撤销权限,则可能会在读取前创建时失败。procmon add filter path=如果应用程序直接调用syscenter+1@blabb,则文件路径应该会产生更好的结果,否则监视器可能会失败。使用ProcMon查找您感兴趣的特定调用的确切堆栈跟踪。然后调试/反转/不管它是什么。