Dbg插件编写与DLL调试

已于 2025-02-23 11:06:04 修改
阅读量466 收藏 5
点赞数 10
CC 4.0 BY-SA版权
分类专栏: 补丁 文章标签: 汇编
于 2025-02-19 14:07:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48257887/article/details/145728092

OD:

ASM:

.386
.model flat,stdcall
option casemap :none

include windows.inc
include msvcrt.inc
include kernel32.inc
include user32.inc
include Plugin.INC

includelib msvcrt.lib
includelib kernel32.lib
includelib user32.lib
includelib Ollydbg.lib



.data
    g_szbuff db "MyDll",0
    g_szModuleName db "KernelBase.dll",0
    g_szFuncName db "UnhandledExceptionFilter",0
    
.code
    
    _ODBG_Plugindata proc C myshortname: ptr SBYTE
    
       invoke crt_strcpy,myshortname,addr g_szbuff
       mov eax,PLUGIN_VERSION
       ret
        
    _ODBG_Plugindata endp 
  


    _ODBG_Plugininit proc C ollydbgversion:DWORD,hw:HWND,features:ptr ulong
        
        mov eax,0
        ret

    _ODBG_Plugininit endp
    

    
    _ODBG_Paused proc C reason:DWORD,reg:ptr t_reg
        local   @pro:DWORD
        local   @bt:BYTE

        mov eax,reason
        .if eax==0
            
           invoke GetModuleHandle,addr g_szModuleName
           invoke GetProcAddress,eax,addr g_szFuncName
           mov @pro,eax
           add @pro,0beh
           mov @bt,84h
           
           invoke Writememory,addr @bt,@pro,1,2

        .endif
        mov eax,0
        ret

    _ODBG_Paused endp
    

    DllMain proc hinstDLL:HINSTANCE ,fdwReason:DWORD ,lpvReserved :LPVOID 
        
        mov eax,TRUE
        ret
    DllMain endp
end DllMain

C\C++:

//说明:
        1.头文件和Lib放到工程目录下面,代码中包含.h和.lib
        2.ODBG_Plugindata函数只用来给插件取名    ->必写
        3.ODBG_Plugininit函数做一些初始化工作    ->必写
        4.ODBG_Paused插件的回调


#include <windows.h>

#include "Plugin.h"
#pragma comment(lib,"Ollydbg.lib")


int ODBG_Plugindata(char* shortname)
{
    strcpy_s(shortname, 31, "Exception Filter");
    return PLUGIN_VERSION;
}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)
{
    return 0;
}

int ODBG_Paused(int reason, t_reg* reg)
{
    if (reason == PP_EVENT)
    {
        PBYTE pro = (PBYTE)GetProcAddress(GetModuleHandle(L"KernelBase.dll"), "UnhandledExceptionFilter");
        pro += 0xbe;

        BYTE bt = 0x84;
        Writememory(&bt, (long)pro, sizeof(BYTE), MM_SILENT);
    }
    return 0;
}

BOOL APIENTRY DllMain(HMODULE hModule,DWORD  ul_reason_for_call,LPVOID lpReserved)
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

x64dbg:

以下是pluginmain.h 和pluginmain.cpp的模板内容

pluginmain.h :

#pragma once

// Plugin information
#define PLUGIN_NAME "Mydll"
#define PLUGIN_VERSION 1

#include "pluginsdk/bridgemain.h"
#include "pluginsdk/_plugins.h"

#include "pluginsdk/_scriptapi_argument.h"
#include "pluginsdk/_scriptapi_assembler.h"
#include "pluginsdk/_scriptapi_bookmark.h"
#include "pluginsdk/_scriptapi_comment.h"
#include "pluginsdk/_scriptapi_debug.h"
#include "pluginsdk/_scriptapi_flag.h"
#include "pluginsdk/_scriptapi_function.h"
#include "pluginsdk/_scriptapi_gui.h"
#include "pluginsdk/_scriptapi_label.h"
#include "pluginsdk/_scriptapi_memory.h"
#include "pluginsdk/_scriptapi_misc.h"
#include "pluginsdk/_scriptapi_module.h"
#include "pluginsdk/_scriptapi_pattern.h"
#include "pluginsdk/_scriptapi_register.h"
#include "pluginsdk/_scriptapi_stack.h"
#include "pluginsdk/_scriptapi_symbol.h"

#include "pluginsdk/DeviceNameResolver/DeviceNameResolver.h"
#include "pluginsdk/jansson/jansson.h"
#include "pluginsdk/lz4/lz4file.h"
#include "pluginsdk/TitanEngine/TitanEngine.h"
#include "pluginsdk/XEDParse/XEDParse.h"

#ifdef _WIN64
#pragma comment(lib, "pluginsdk/x64dbg.lib")
#pragma comment(lib, "pluginsdk/x64bridge.lib")
#pragma comment(lib, "pluginsdk/DeviceNameResolver/DeviceNameResolver_x64.lib")
#pragma comment(lib, "pluginsdk/jansson/jansson_x64.lib")
#pragma comment(lib, "pluginsdk/lz4/lz4_x64.lib")
#pragma comment(lib, "pluginsdk/TitanEngine/TitanEngine_x64.lib")
#pragma comment(lib, "pluginsdk/XEDParse/XEDParse_x64.lib")
#else
#pragma comment(lib, "pluginsdk/x32dbg.lib")
#pragma comment(lib, "pluginsdk/x32bridge.lib")
#pragma comment(lib, "pluginsdk/DeviceNameResolver/DeviceNameResolver_x86.lib")
#pragma comment(lib, "pluginsdk/jansson/jansson_x86.lib")
#pragma comment(lib, "pluginsdk/lz4/lz4_x86.lib")
#pragma comment(lib, "pluginsdk/TitanEngine/TitanEngine_x86.lib")
#pragma comment(lib, "pluginsdk/XEDParse/XEDParse_x86.lib")
#endif //_WIN64

#define Cmd(x) DbgCmdExecDirect(x)
#define Eval(x) DbgValFromString(x)
#define dprintf(x, ...) _plugin_logprintf("[" PLUGIN_NAME "] " x, __VA_ARGS__)
#define dputs(x) _plugin_logprintf("[" PLUGIN_NAME "] %s\n", x)
#define PLUG_EXPORT extern "C" __declspec(dllexport)

//superglobal variables
extern int pluginHandle;
extern HWND hwndDlg;
extern int hMenu;
extern int hMenuDisasm;
extern int hMenuDump;
extern int hMenuStack;

//functions
bool pluginInit(PLUG_INITSTRUCT* initStruct);
void pluginStop();
void pluginSetup();

 pluginmain.cpp:

#include "pluginmain.h"
#include <Windows.h>
#include <process.h>

int pluginHandle;
HWND hwndDlg;
int hMenu;
int hMenuDisasm;
int hMenuDump;
int hMenuStack;

// 导出函数
extern "C" __declspec(dllexport) void CBMENUENTRY(CBTYPE cbType, PLUG_CB_MENUENTRY * info);
extern "C" __declspec(dllexport) void plugsetup(PLUG_SETUPSTRUCT * setupStruct);
extern "C" __declspec(dllexport) bool pluginit(PLUG_INITSTRUCT * initStruct);

// 在这里初始化插件数据。
bool pluginInit(PLUG_INITSTRUCT* initStruct)
{
    // 返回false以取消加载插件。
    return true;
}

// 在此处取消初始化插件数据。
void pluginStop()
{
}

// 在这里做GUI/菜单相关的事情。
void pluginSetup()
{
}

// 菜单被点击回调
void CBMENUENTRY(CBTYPE cbType, PLUG_CB_MENUENTRY* info)
{
    // 此菜单用于实现功能,并测试
    if (info->hEntry == 0)
    {
        _plugin_logprint("enable UEH\n");
    }
    else if (info->hEntry == 1)
    {
        _plugin_logprint("disable UEH\n");
    } 
}

PLUG_EXPORT bool pluginit(PLUG_INITSTRUCT* initStruct)
{
    initStruct->pluginVersion = PLUGIN_VERSION;
    initStruct->sdkVersion = PLUG_SDKVERSION;
    strncpy_s(initStruct->pluginName, PLUGIN_NAME, _TRUNCATE);
    pluginHandle = initStruct->pluginHandle;

    return pluginInit(initStruct);
}

PLUG_EXPORT bool plugstop()
{
    pluginStop();
    return true;
}

PLUG_EXPORT void plugsetup(PLUG_SETUPSTRUCT* setupStruct)
{
    hwndDlg = setupStruct->hwndDlg;
    hMenu = setupStruct->hMenu;
    hMenuDisasm = setupStruct->hMenuDisasm;
    hMenuDump = setupStruct->hMenuDump;
    hMenuStack = setupStruct->hMenuStack;

    _plugin_menuaddentry(setupStruct->hMenu, 0, "enable UEH");
    _plugin_menuaddentry(setupStruct->hMenu, 1, "disable UEH");

    pluginSetup();
}

测试: 

Dll调试:

 1.要想调试DLL,Debug\Release模式都必须选择 "MTD",D才带调试信息,不然断不下来

 2.必须把生成的DLL放到目标文件夹下,再在VS的属性调试选项里面选择要加载DLL的程序,F5启动调试

 3.对于汇编写的DLL,不能用VS调试的,可以在需要调试的汇编代码里面加 "INT 3",即可以断下了

X64dbg插件编写
逆向学习
09-20 1345
文章目录必选导出函数bool pluginit(PLUG_INITSTRUCT* initStruct)bool plugstop()void plugsetup(PLUG_SETUPSTRUCT* setupStruct) 必选导出函数 bool pluginit(PLUG_INITSTRUCT* initStruct) [必选导出] 初始化函数, 用于查询版本号,注册插件的名字和版本 exte...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 8244
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dllDllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
x64dbg插件集合x64dbg插件集合
09-04
x64dbg插件集合x64dbg插件集合
逆向入门(3)工具使用篇-dbg常用基础插件
最新发布
baynk的博客
07-07 1211
调试器的一款多功能插件,因其集成了多种实用工具(如同瑞士军刀般功能丰富,好好好,又一把瑞士军刀)而得名。该插件调试程序的API函数调用进行检测,自动添加函数定义,参数和数据类型以及其他补充信息,安装以后可以让。下载下来编译好的以后,或者下载源码自己编译也可以,编译的时候我记得要装这个软件对应的工具包才行。位的都输出出来,然后把对应的版本放到对应的目录下就可以,下面拿。目录解压到插件目录,其余的就是普通插件的安装方法了。可以选自动分析,也可以选择扩展分析,未分析前。有编译好的,也有现成的插件文件。
X64dbg-插件开发-字符编码-常用插件函数-回调结构
插件开发
05-10 2065
文章目录1.字符编码2.常用插件函数2.1 _plugin_debugpause2.2 _plugin_debugskipexceptions2.3 _plugin_logprintf2.4 _plugin_logputs2.5 _plugin_menuadd2.6 _plugin_menuaddentry2.7 _plugin_menuaddseparator2.8 _plugin_menuaddseparator2.9 _plugin_menuentryseticon2.10 _plugin_menue
X64dbg-插件开发-概述-基础知识-接口
插件开发
05-13 903
文章目录1.基础知识2.出口3.定义4.作者答疑 1.基础知识   本页涵盖了 x64dbg 插件开发的基本原则。有关示例插件和模板,请参阅插件页面。 2.出口   一个插件至少有一个导出。必须调用此导出pluginit。有关PLUG_INITSTRUCT更多信息,请参阅和插件标头。其他有效的出口是:plugstop:在插件即将卸载时调用。在此处删除所有已注册的命令和回调。还要清理插件数据。plugsetup:插件初始化成功时调用,这里可以注册菜单等GUI相关的东西。CB*_plugin_registerc
x64dbg 自动化控制插件
CSDN
10-31 9313
一款 x64dbg 自动化控制插件,通过Python控制x64dbg的行为,实现远程动态调试,解决了逆向工作者分析程序,反病毒人员脱壳,漏洞分析者寻找指令片段,原生脚本不够强大的问题,通过Python相结合利用Python语法的灵活性以及其丰富的第三方库,加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析。插件下载好以后,请将该插件复制到x64dbg的plugins目录下,程序运行后会自动加载插件。当插件加载成功后,会在日志位置看到具体的绑定信息以及输出调试,该插件并不会在插件栏显示。
X64dbg插件跳转记录-追踪跨模块CALL自定义命令行API批量分类下断
01-20
X64dbg插件可以捕获这些跳转事件,记录并展示出来,帮助我们追踪程序的行为。 自定义命令行API是X64dbg的一个强大特性,允许用户扩展调试器的功能。通过编写脚本或插件,我们可以创建自己的命令,实现特定的操作,...
【自动化调试x64dbg脚本优化你的DLL调试流程】
本文旨在介绍x64dbg调试器在64位Windows应用程序中的应用,并探讨其在DLL调试流程中的有效使用方法。文章从基础环境搭建开始,逐步深入讲解了DLL的工作机制、调试前的分析工作,以及x64dbg脚本语言的编写和应用技巧...
调试插件开发指南:x64dbg下的DLL功能扩展自定义调试
文章首先介绍了x64dbg插件开发的基础概念,然后详细阐述了DLL功能的扩展理论实践,包括接口机制、编写步骤和自定义功能的实现。接下来,文章讲述了如何开发和应用自定义调试命令,包括命令的生命周期管理
【异常处理故障排除:x64dbg中的DLL调试异常日志分析】
第一章介绍了x64dbgDLL调试的基础知识。第二章深入分析了异常处理的基本概念,Windows异常处理框架以及如何在x64dbg中分析异常事件。第三章着重讲述DLL调试技术,包括DLL加载机制、动态链接,高级调试技术以及常见...
x64dbg反检测插件2017-1-21版
02-06
x64dbg反检测插件2017年1月21日版本
x64dbg(最新snapshot集合多个插件及皮肤)
11-24
x64dbg懂的人知道是做什么用的,不懂的就不懂了,不做细说
x64 dbg 源码及编译例子
09-04
x64 dbg 源码及编译例子 可
Python-x64dbgidaIDAPro的官方的x64dbg插件
08-10
x64dbgida - IDA Pro的官方的x64dbg插件
x64dbg插件来检查安全设置-C/C++开发
05-27
x64dbg的checksec该插件的灵感来自Mario Ballano的OllySSEH和Tobias Klein的linux checksec.sh。 请报告任何错误/改进/建议。 屏幕快照编译使用x64dbg的Visual Stud checksec进行编译此插件的灵感来自Mario Ballano的OllySSEH和Tobias Klein的linux checksec.sh。 请报告任何错误/改进/建议。 屏幕快照编译使用Visual Studio 2017编译。v0.1初始版本。 支持对SafeSEH DEP ASLR / GS的检查(不是100%可靠)控制流保护签名
简单记录2下(x64dbg添加插件
m0_64483081的博客
09-03 1104
例如:D:\x64dbg\release\x64\plugins。将文件直接复制到路径下即可。插件后缀为.dp64。
x64dbg】我是如何搭建x64dbg插件的vs开发环境(可直接运行调试
兔兔再可爱下去世界就会毁灭的
02-12 1390
搭建x64dbg插件的vs开发环境,且该环境有足够且方便的调试能力
DotX64Dbg 插件使用教程
gitblog_00066的博客
08-25 799
DotX64Dbg 插件使用教程 项目介绍 DotX64Dbg 是一个为 x64Dbg 调试器开发的插件,支持使用 C# 语言编写插件,并提供热加载功能。这意味着插件代码可以在不重新启动调试器的情况下进行更新和重新加载。DotX64Dbg 的主要特点包括: C# 插件支持:允许开发者使用 C# 编写 x64Dbg 插件。 热加载功能:插件代码可以在运行时动态编译和加载。 自动生成项目文件:Dot...
探索x64dbg插件:深入了解其功能集合
对于x64dbg插件的安装管理,通常插件文件(通常为DLL格式)需要被放置在x64dbg插件目录下,这样x64dbg在启动时就能自动加载这些插件。安装插件后,用户可能需要重新启动x64dbg以使新插件生效。部分插件还可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值