从《逆向工程核心原理》中提到的 https://reversecore.com/111 中下载的 PEview 在处理 32 位程序时其它目录都还行,当点到 IMAGE_NT_HEADERS——>IMAGE_FILE_HEADER 中就会有如下图所示的报错。
参考 a1ee 师傅的文章我自己复现了一遍并把所思所想记录下来。
首先把程序载入 xdbg 中打开,点击报错的地方,在日志栏可以看到异常触发于 0x404788 。
异常记录 EXCEPTION_DEBUG_INFO:我也看不太懂, ExceptionInformation[01]: 3140AA50 Inaccessible Address 意思应该是访问地址 3140AA50 导致的访问异常,异常码为 C0000005 (EXCEPTION_ACCESS_VIOLATION)
转到 0x404788 处发现是一个 rep movsb 指令,但是此时已经没有运行时的环境参数了,所以我们得再运行一遍看看是哪个寄存器存入了越界地址。实践中发现该段指令是一个循环,所以我们不能直接在 0x404788 处下断点,得先打开 PEview 加载好所有东西,在点击 IMAGE_FILE_HEADER 栏之前才下断点。
要注意的是下了点击后卡的第一次还没发现日志中的异常值,循环了3次后才找到,说明点击 IMAGE_FILE_HEADER 栏时要在该段指令中循环好几次,第三次才有异常产生。
现在知道是 esi 寄存器了,我们需要知道谁给 esi 赋的错误的值:
总结:
这是我第一次处理程序异常,虽然是跟着 a1ee 的文章复现的,但我有自己的分析。
1:xdbg 调试,查看日志中的异常位置和异常类型及异常寄存器值。
2:慢慢溯源确定函数或代码,如果是系统函数就看人为能修改的参数部分,其它另说。
3:这次异常原因是获取日期格式化显示时我们地区是中文 unicode 字符,所以导致缓冲区溢出,多多积累~
