Linux下可视化反汇编⼯具EDB基本操作知识
⾃⼰在上⽹搜edb的操作姿势的时候发现这⽅⾯的资料有点少,下⾯总结⼀下⾃⼰摸索出来的edb操作姿势:
1. EDB操作基础知识:⾸先点击运⾏,这时程序会运⾏前⾯的初始化函数到main,此时可以开始单步调试。
1. step into:执⾏代码,如果是函数则进⼊。
2. step over:执⾏代码,如果是函数会执⾏然后跳过
3. step out:如果没有断点会直接跳到函数的ret指令处。
4. F2调⽤右键的Toggle BreakPoint设置断点, 当然右键也有Conditionnal BreakPoint 条件断点的选择,对应Shift+F2。
decoder5. Rigisters和Stack窗⼝可以分别查看运⾏处寄存器和栈的值。Data Dump可以查看内存区域的值,这⼀块内存区域应该是伴随
程序分配的内存区域。三个窗⼝呈现的形式都是左边是⼆进制,右边是字符串,如果真的存储的是字符串类型,那么我们可以通过右边直接看到,⽐较⽅便。
6. 如果想要查看程序不同段的内存,可以通过View->Memory Regions查看。
7. ⽆论是Registers还是Stack都可以右键直接设定⼆进制的值,这个特性可以⽤来进⾏程序的调试⼯作。
8. Ctrl+F调⽤Plugin中的BinarySearcher可以直接搜索内存区域中的字符串。
9. 选定⼀⾏,Ctrl+*调⽤邮件的set EIP to this instruction,跳过前⾯的代码直接运⾏到当前⾏。
了解以上知识之后,简单使⽤edb运⾏程序应该不成问题。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。