这是一个用虚拟机技术实现的简易Debugger,主要用于外壳分析和脱壳,目前只能跑exe文件的主线程,可以跑DLL的入口程序。 这个工具仅仅可以作为分析外壳辅助手段,因为是虚拟执行每条指令,所以,速度很慢。
界面介绍:
Log窗口:左上的那个就是
DATA窗口:Log窗口的下面那个
命令窗口:在DATA下面
寄存器窗口:右上
STACK窗口:寄存器窗口下面
1、如何启动一个待调试程序
点击“打开被分析文件”按钮,按下它选择被调试文件即可
2、“GO!”按钮是让这个程序在虚拟机下跑(不是跑飞)
3、“放开跑”按钮是放开被调试程序,让它自由跑,控制权不能再收回,
这个方法可测试虚拟机是否能够正常跑这个程序,如果程序运行正常,说明在这之前虚拟机跑的都正确!
4、“单步”仅仅是step into,没有step over,以后再加
5、“结束调试”仅仅在程序没有跑飞的时候有用。
更新日志:
虚拟机的速度有所提升;
修正了界面中“API调用暂停”选项不能取消的问题。