-
-
[原创]用OllyDBG调试Explorer.exe的两种办法
-
发表于: 2008-10-18 11:17
-
用OllyDBG调试Explorer.exe的两种办法
前言
腾讯比赛中第一阶段第四题是要利用StretchDIBits函数的漏洞,漏洞还算好找,用IDA打开很快就能看到可疑点,但难的是调试验证。因为Explorer.exe进程在Windows中的特殊性,所以调试起来不太容易,如果采用OD直接Open或Attach的方式,要么是断不下来,要么就是导致系统没有响应。尽管forgot等大牛已经提示过了要修改DesktopProcess,但本人脑瓜较木,一直不明白是啥意思,这团阴影缠绕了我一星期。刚好昨天下午还算空闲,就决心要把这个问题搞定,于是在Google中找啊找,先是用了shoooo大的“可注入Explorer的OD”,可是不知是否我的用法不对,还是不管用,最后终于看到了这篇MS的文档:Debugging with the Shell
afaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3L8r3W2T1M7X3q4J5P5g2)9J5c8X3y4U0x3e0b7@1x3o6j5@1i4K6t1^5g2W2y4Q4x3X3f1^5y4g2)9J5z5g2)9J5k6h3q4K6M7s2S2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0N6Q4b7V1u0Q4z5p5k6Q4c8e0S2Q4b7V1k6Q4z5o6N6Q4c8e0g2Q4z5p5k6Q4z5p5c8Q4c8e0g2Q4b7e0c8Q4z5p5c8Q4c8e0W2Q4b7f1q4Q4z5p5y4Q4c8e0S2Q4b7f1k6Q4z5o6q4Q4c8e0N6Q4b7e0q4Q4b7f1g2Q4c8e0g2Q4b7f1g2Q4z5f1q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0S2Q4b7e0q4Q4z5p5y4Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6y4Q4b7U0y4Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0S2Q4b7U0m8Q4z5o6y4Q4c8e0S2Q4b7f1k6Q4z5e0g2q4P5s2m8D9L8%4u0W2M7W2)9J5k6h3g2^5k6g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4W2!0n7x3#2)9&6y4g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4g2!0n7c8g2)9^5z5q4!0q4z5g2)9&6b7g2!0n7c8g2!0q4y4W2)9^5z5g2!0n7c8g2!0q4y4g2)9^5z5q4!0n7x3q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7g2)9^5c8g2!0q4y4W2)9&6z5q4!0m8c8W2!0q4y4q4!0n7c8g2!0n7c8W2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4)9^5b7W2!0q4y4W2)9&6y4W2)9^5y4#2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
第一种:神奇的CTRL+ALT+SHIFT
OD菜单:File -> Open,选择Windows目录下的Explorer.exe,打开之后,OD将会自动中断在入口点,这时在系统中会存在2个Explorer.exe进程,如下图:
接下来从“开始”菜单或者“任务管理器”中选择“关机”,系统弹出关机对话框,如下图:
此时很关键了,要在按住CTRL+ALT+SHIFT三个键的同时,点击“取消”按钮,注意:必须是同时才有效,即先按下三个键,然后再点击。屏幕会在短暂的灰屏后重新亮起,原来的Explorer.exe已经被关闭,但是被OD调试的那个还在,如下图:
之后你会发现桌面和任务栏都不见了,但不用担心,这是正常的,你原来打开的所有应用程序都还健康地活着,在OD下需要的断点,然后按F9运行,这时的Explorer就像普通进程一样开始运行,可以被OD任意调试了。
按下CTRL+ALT+SHIFT三个键表示什么意思呢?我也不知道,在Google上也没找到,要是有谁知道的,请一定要告诉我。
第二种:修改注册表
注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer键下新建一个DWORD值为1,修改之后如下图:
这个值的意思是让Windows中的桌面和任务栏使用一个单独的Explorer.exe进程,而其它的文件浏览等操作则使用另外一个Explorer.exe进程。修改后进行注销再重新登录,使修改生效。之后就和第一种方法一样了,操作OD菜单:File -> Open,选择Windows目录下的Explorer.exe,在OD下需要的断点,按F9运行,用被OD调试的这个Explorer.exe进行文件浏览等,当触发了断点后就会被断下。
如果用IDA创建了系统DLL的MAP文件,还可以用OD插件LoadMapEx加载到OD中,这样在OD中也能看到MS的调试符号,会把系统对Explorer.exe的调用流程看得更清楚。以Gdi32.dll中的StretchDIBits函数为例,在Explorer.exe中下了StretchDIBits断点后,当该断点被触发时,从我机器上的CallStack窗口可以看到这样的流程:Shell32 -> User32 -> Gdi32.StretchDIBits。如下图:
总结
这两种方法比较,尽管第一种方法感觉有点酷,不过从稳定性方面考虑,个人还是推荐第二种方法。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
前几天出了答案也不敢去调explorer,牛人们终于又放出来了
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
都是牛人.CTRL+ALT+SHIF 同时按下是啥意思.
很好奇. 期待答案.也谢谢楼主不辞辛苦的截图,以及写下这些文字. 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
