壳的定义:在计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序,它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务
这个例子的文件是elf文件只能在linux系统中运行
所以需要用到IDA远程调试:
首先将ida的dbgsrv目录下的linux_server64文件复制到虚拟机中
ifconfig查看虚拟机信息,拿到ip地址
需要打开服务,才会为虚拟机分配ip地址
./linux_server64:执行文件,要先添加权限chmod +x 文件名
运行服务并获得端口号
在ida中选择远程调试器,进入进程选项,填写host
进入调试后找到retn先按F4让程序运行到retn,然后F7
重复上述操作直到出现
F5
设置硬件断点,右键edit..,选择hardware
这样再次调试时就不必手动跟踪程序了
用硬件断点而不用软件断点的原因是:硬件断点是通过监测地址来触发断点的,而软件断点是通过监测特定的指令来触发断点的,这就意味着使用软件断点就必须在断点处修改原来的指令,这就会导致一些不好的情况发生.
