设置消息断点步骤(OllyDbg):
分析程序(Ctrl+A)->找到窗口回调->右键分析假定参数->右键断点WinProc断点->设置要截获的消息
一、调试器
1.用户模式调试器
- OllyDbg:强大的反汇编能力,调试从WinMain开始,在所有静态链接DLL初始化完成之后,免费软件
- WinDbg:反汇编能力有限,与操作系统的集成性方面超过OllyDbg,可以在静态链接DLL初始化之前单步调试,免费软件
- IDA Pro:强大的反汇编器+用户模式调试器
- PEBrowse Professional Interactive:中间语言调试器+针对.NET程序的反汇编器,免费软件
2.内核模式调试器
- WinDbg:与运行WinDbg GUI的系统相互独立的系统上远程执行的
- Numega SoftlCE:目前最流行的逆向调试器,允许进行本地内核调试。本质上是一个Windos内核驱动程序,总的来说优于WinDbg
二、系统监控工具
- FileMon:监控程序和操作系统之间所有文件系统级的通信,以及显示在系统中运行的每个进程所产生的文件I/O,可以观察到每个被打开的文件或目录,以及系统中任何进程执行的读写操作
- TCPView:监控每个进程的所有活动的TCP和UDP网络链接,不能显示真正的通信
- TDIMon:类似TCPView,提供系统中所有进程执行的任何套接字级(socket-level)操作的信息
- RegMon:注册表活动的监控器,汇报来自每个程序对注册表的所有访问
- PortMon:物理端口监控器,监控系统中所有的并行和串行I/O通信
- WinObj:以层次化(分级)的视图显示系统中的命名对象
- Process Explorer:任务管理器增强版
三、修补工具
- Hex Workshop:十六进制转储和修补工具,可以做文件甚至是整个磁盘的转储和修补工作,不支持反汇编或汇编。除了是一种修补工具外,还是一款数据逆向工程程序,支持把数据转换为有组织的数据结构,不免费
四、可执行程序转储工具
- DUMPBIN:微软控制台模式下的工具,用来转储可移植的可执行程序文件的多个不同部分
- PEView:具有图形化用户界面,能够将所有重要的PE数据结构以良好的GUI方式显示,提供了显示文件中选定区域内原始字节的原始视图
- PEBrowse Professional:PE转储+反汇编,能转储所有与PE相关的文件头,可以作为原始数据和结构化的文件头信息