OD多线程调试方法笔记

xiaofengzi · 发表于 2020-11-9 14:25

本帖最后由 xiaofengzi 于 2020-11-9 15:07 编辑

调试中发现很多样本都采用多线程的方式，而OD调试只能调试单线程，需要线程切换来调试子线程，因此汇总参考链接中的相关方法以备用。

看到有人下载，补个免费链接，内容只涉及工具和方法的简单使用。
https://wws.lanzouj.com/iybohi7yg7c

马化腾· · 发表于 2020-11-9 15:12

评分那段话随便点的各位别在意

xiaofengzi · 发表于 2020-11-11 09:54

Hmily 发表于 2020-11-10 17:46
我一般在CreateThread那把新线程的地址F2下好断点，然后继续跟踪调试，新线程不强制执行，等执行时候自动中 ...

谢谢H大，是这样子，我对软件逆向了解的不多，主要接触的都是恶意样本，现在很多恶意样本采用多线程方式实现恶意功能的时候都会在每一个线程函数开头或中间进行sleep，这样子使用OD在调试多线程的时候经常会出现大量的反复跳转，基本没法子正常调试，比如GlobeImposter勒索就是，因此才想着汇总以下网上查到的资料。除了笔记里的第3种和第4种方法，其它的方法本质上还是实现把多线程函数改为单线程来实现调试的目的。

whatdos · 发表于 2020-11-9 14:52

有个简要说明就好了

gaoyuan1234 · 发表于 2020-11-9 16:29

小白前来顶帖！！！

wull1299 · 发表于 2020-11-9 17:20

看起来，很不错

yangyangyang007 · 发表于 2020-11-9 17:54

感谢分享，不错

tan567421 · 发表于 2020-11-9 18:01

看一手，学习学习。

thesick · 发表于 2020-11-9 19:31

谢谢分享笔记

流泪的小白 · 发表于 2020-11-9 22:39

有个说明真的好

tfrist · 发表于 2020-11-10 02:50

多实践就能总结经验。线程这块OD处理的还行。但是它处理不好的地方是同步对象的处理这块。一旦遇到多个同步对象来控制程序流程的时候 OD经常容易死锁掉。

帐号		自动登录	找回密码
密码			注册[Register]

[原创] OD多线程调试方法笔记

免费评分

免费评分