断点 相关技术与原理

Posted 2020-09-17 gavanwanggw

继续对OD的断点技术做个笔记。

1、硬件断点：

Intel CPU中有8个调试寄存器（Debug Register）DR0 — DR7，当中DR0 — DR3用于设置硬件断点地址，DR6保存状态，DR7负责控制。当指令运行到DR所指地址时，CPU中断，等待OllyDbg进一步操作。
OllyDbg中，选定一行后按F4键。用于运行到指定位置，就是暂时设置了一个硬件断点。
硬件訪问/写入断点是断在触发硬件断点的下一条指令处。

方法：
在代码处右键->断点->硬件运行。在寄存器窗体右键->查看调试寄存器，能够看到设置成功。
在菜单->调试->硬件断点处。能够看到已经设置的全部硬件断点。

长处：
          程序无法检測此类断点。
缺点：
          最多仅仅能同一时候设置四个。


2、条件断点\条件记录断点
2.1条件断点

实际上就是普通的CC断点,仅仅只是该断点的触发须要满足设置的条件。

OD的帮助文档中有具体的条件表达式规范。

2.2条件记录断点
比条件断点能够有更具体的条件设定。

工具栏中【L】button打开日志窗体。



3、消息断点
Windows是消息驱动型的系统。消息断点使得某个窗体函数接收到某个消息时产生中断。

方法：点击工具栏中的【w】，假设为空。则右键刷新。
选择一个窗体对象，右键->设置消息断点。
在消息（Message）中设置相应的消息代码，如202 WM_LBUTTONUP等。

设置消息断点通常会停在系统库函数领空，仅仅须要在工具栏【M】的内存区段的代码段（如CODE）设置断点就能够。

（如内存訪问断点）


A、对于堆栈，想要查看比如[esp+8]的地址的位置。仅仅需双击地址就可以。


B、想要查看全部的消息，以查找实用的信息，在信息转换的函数上下消息断点就可以。

如定义（DefWindowProcA）与转换消息（TranslateMessage）的函数上设置断点。

參考文章：

http://bbs.pediy.com/showthread.php?p=1279874#post1279874

http://bbs.pediy.com/showthread.php?p=1280177#post1280177