debug
命令DEBUG命令参数详解DEBUG是一个DOS实用程序,是供程序员使用的程序调试工具,可以用它检查内存中任何地方的字节以及修改任何地方的字节。它可以用于逐指令执行某个程序以验证程序运行的正确性,也可以追踪执行过程、比较一个指令执行前后的值以及比较与移动内存中数据的范围,读写
文件与磁盘扇区。它的功能包括以下几个方面。1,直接输入,更改,跟踪,运行汇编语言源程序;2,观察操作系统的内容;3,查看ROMBIOS的内容;4,观察更改RAM内部的设置值;5,以扇区或文件的方式读写软盘数据DEBUG把所有数据都作为字节序列处理。因此它可以读任何类型的文件。DEBUG可以识别两种数据:十六进制数据和ASCⅡ码字符。它的显示格式是各个字节的十六进制值以及值在32与126之间的字节的相应ASCⅡ码字符。在DEBUG中输入数据有两种方法:提示方法和非提示方法。在用提示方法时,用户可以输入要求输入数据的命令,后跟数据所要输入的
地址。然后用户就可以看到该地之中已有内容及一个冒号提示符。此时用户可以在提示符下输入一个新的值或者按下回车键或CTRL+C回到短横(-)提示符。在运用非提示方法时,用户可以输入要输入数据的内存地址以及要输入的字节。但与使用字处理程序或正文编辑程序时不一样,在使用DEBUG时,用户不能直接移动光标到一入口点输入或修改数据,而要一次输入一个或几个字节。在使用DEBUG时可以只涉及内存中的数据,从而一般都要指定所要处理的内存地址,地址的输入格式是:[段地址]:[位移]。如果没有输入地址,DEBUG将假定为当前内存段,从位于地址100H的字节开始。前100H字节保留给程序段前缀使用,这一专用区域用于建立DOS与程序之间的联系。DEBUG总是用四位十六进制数表示地址。用两位数表示十六进制数据。讲到这里大家应该对DEBUG有了初步的了解,但是光知道这些可不够,接下来我来讲讲DEBUG的命令格式和命令。当输入DEBUG调用了DEBUG程序,就会出现一个短横提示符,用户就可以在这一短横后输入DEBUG程序的命令。有些DEBUG命令会显示一个内存地址并产生一个作为提示符的冒号。在这些提示符后,用户可以输入一个新值以改变所显示位置原来的值。如果用户不输入一个新值而是按下回车或CTRL+C,那么原来的值不会改变。一般用不着把地址和命令名字分开。例如,用转储命令D察看100号地址的数据,那么这个命令可以用以下任一种形势输入:D100D100D。100D,100如果输入的命令中出现了错误,DEBUG将在下一行对着错误的位置标记出来,例如:-s100d12^ErrorDEBUG的命令及功能如下:*A[地址]汇编命令功能:将指令直接汇编成机器码输入到内存中。说明:用于小段程序的汇编及修改目标程序,所有输入的数字均采用十六进制,用户装入内存的汇编语句是连续存放的,若没有指定地址,并且前面没有使用汇编命令,改语句被汇编到CS:0100区域。例A:>DEBUG-a010008F1:0100MOVAH,0908F1:0102MOVDX,10908F1:0105INT21H08F1:0107INT21Hdebugtan.exe-u:反编译成汇编语言程码…………..-g100指定中断点Programterminatednormally:另外:我们在DEBUG下可运行一个文件.EXE如:A:\>debugtan.exe-g即可开始运行此程序,和在DOS下完全一样:*H[数值][数值]十六进制算术运算命令功能:分别显示两个十六进制数相加的和以及第一个数减去第二个数的差。说明:替用户完成简单的十六进制数的运算。例:-h453856239B5BEF15*I[端口地址]功能:从指定的端口输入并显示(用十六进制)的一个字节。例:-i70F9;显示70端口的内容为F9I命令可由80X86的64K个端口取数据*L[地址][盘号:][逻辑扇区号][扇区数]功能:将一个文件或盘的绝对扇区装入存储器。说明:单个L命令能够装入的最大扇区数是80H,其中盘号0,1,2,3……分别代表A,B,C,……出现读盘错,显示错误信息。(1)格式1.L装入地址驱动器名起始扇区/扇区数这种方式可把磁盘上指定扇区范围的内容装入到存储器从指定地址开始的区域中,在此外扇区编号引用逻辑/扇区的方式。例:-L100001,将A驱的0扇区装至CS:100上-d10010f08F1:0100EB3C903C53444F53-362E323202010100.L,MSDOS6.22……(2)格式2:L装入地址这种方式可把指定文件装入内存,装入的文件可在进入DEBUG时指定亦可用N命令建立,格式为-n文件名:例1DEBUGtan.pas-L100例2DEBUG-ntan.pas-L100须知:L命令只能读取逻辑扇区,不能读取硬盘分区表L命令中所用的磁盘代码A=00,B=01,C=02……*M[地址范围][起始地址]数据传送命令功能:把地址范围内的存储器单元的内容移到起始地址的指定地址中说明:传送期间,源区和目标区可以部分重叠传送后源区域数据保持不变。例:-e1004142434445-d10010f08F1:0100414243444562626364-6162636461626364ABCDEBCDABCDABCD-M100104110-d110L1F08F1:0100414243450A2119-200101200796879FABCDE……*N[盘号:][路径][文件名][扩展名]功能:定义操作文件名。说明:可同时定义两个操作文件,并将形成的文件控制块相应的设置在内存CS:5C和CS:6C上,供以后的L和W命令操作之用。我们在运行程序侦错时,在启动DEBUG时在其后加文件程序名以及该程序的参数或运行文件,但当我们侦错一段后,可能装入其它文件来测试,这时我们可利用N命令来设置而无需退出DEBUG。例:A:\>DEBUGtan.exe-nyoug.pas当程序侦错一段时间后,若要把tan.exe装入tan1.pas则-ntanl.pas*O[端口地址][数据]输出命令功能:发送字节到指定的输出端口。例:当我们遇到开机要求输入口令时,可用如下方式取消-O7010_O7100*P[=地址][数据]进程命令功能:将一个子程序调用指令,循环指令,中断指令或一个重复字符串指令,停止在下一条指令上。说明:在执行一条子程序调用指令,循环指令,中断指令或一个重复字符串指令时,发出P命令去执行有关指令,并且返回到要执行的下一条指令。P命令和T一样选用来跟踪程序运行过程用的命令,我们可以在P命令中指定程序运行的起始地址,指令个数,如未指定则CS:IP所指定程序的地址开始一次运行一条令。P与T命令的差别在于P命令把CALL/INT当成一条指令来执行,简化了跟踪过程,P命令只运行RAM内存的命令,而T命令则可运行RAM和ROM里的程序。*Q退出命令。*R[寄存器]寄存器命令功能:一,显示单个寄存器的内容,并提供修改功能。二,显示所有寄存器内容,再加上字母标志位状态以及要执行的下一条指令。三,显示8个标志位状态,并提供修改功能。若不想改变则回车即可。例:-rbxbx0050:51-rAX=0000BX=0051CX=0000SP=FFEEBP=0000SI=0000DI=0000DS=0003ES=0CD3SS=0CD3IP=0100NVUPEIPLNZNAOPNC0CD3:01000FDBOF若想改变标志寄存器,用-RF回车,则DEBUG会将标志内容显示出来,若想改变任一标志,只要输入该标志的名称即可。标志名称设置未设置标志名称设置未设置滋出OV(未溢出)NV(未溢出)零位ZRNZ(不等于零)方向DN(减少)UP(增加)辅助进位ACNA(无进位)中断EI(许可)DI(禁止)奇偶标志PE(偶)PO(奇)符号NG(负)PL(正)进位CYNC(清除进位)例:-RfNVUPEIPLNZNAPONC:-OVDI←输入值*S[地址范围][字符串]功能:在指定的地址范围内查找给定的字符串。说明:用来指定在地址范围内查找一个字符串,若找到则显示其地址,否则直接显示DEBUG提示符。隐含地址为DS段值。在此内存可以用(起始地址)(终止地址)或(起始地址)L(长度)的方式来表示,而字符串与数据行则可混合使用:如:02.76"BC"。例:-d100lof08F1:0100OF2A41430B314296-FFF0B98AF300B1..AC,1B-S100lof"AC"08F1:0102←表示找到,由0102开始,*T[=地址][指令条数]跟踪命令功能:逐条跟踪程序的执行,每条指令执行后都将显示各寄存器的内容。说明:通常采用跟踪一条指令,但用户也可以用指令条数设定一次跟踪多条指令,每执行一条指令之后,显示所有寄存器的内容和标志状态。逐条指令跟踪-T[=起始地址]从指定地址起执行一条指令后停下来,显示所有寄存器内容及标志位的值,如来指定地址则从当前CS:IP开始执行。A:\>DEBUG-A08F1:0100MOVDL,03H08F1:0102MOVAH,02H08F1:0104INT21H08F1:0106INT20H08F1:0108-TAX=0000BX=0000CX=0000DX=0000SP=FFEEBP=0000SI=0000DI=0000DS=08F1ES=08F1SS=08F1CS=08F11P=0105NVUPEIPLNZPOCY09F1:0102B402MOVAH,02若指定起始地址,则T命令会从指定的地址开始跟踪,我们还可以指定跟踪一次所运行指令的个数,用Ctrl+S暂停屏幕的显示,以便观察。-t=10010;由CS:100开始跟踪10条指令*U[起始地址]或者[地址范围]功能:将内存中的内容转换为汇编语句。说明:反汇编的字节数取决与用户的系统显示形式,以及在U命令中使用的可选项。(1)从指定地址开始编译,反汇编32个字节-U[地址]←从CS:100开始,其反汇编32个字节如果地址被省略,则从一个U命令的最后一条指令的下一条单元开始汇编32个字节。(2)对指定的存贮范围进行反汇编-u起始地址终止地址(L长度)例:-U10010908F1:0100CD20INT2008F1:0102FF9F009ACALLFA12[BX+9A00]08F1:0106F0LOCK08F1:0107FE1DCALLFAR[DI]08F1:0109F0LOCK说明:如指定了范围则整个范围全都会被反编译*W[地址][盘符:][起始扇区][扇区数]写盘命令功能:将修改过的数据写到磁盘上。说明:可以将指定内存地址开始的数据写在磁盘上,可以在没有指定参数,或指定地址参数的情况下,将调试文件写在磁盘上。在运行W时需设置文件的大小CX或BX寄存器(1)把数据写入磁盘的指定扇区-W起始地址驱动器名起始扇区扇区数(2)把数据写入指定文件中-W起始地址例A:\>DEBUG-A08f1:0100..写入程序段08F1:012A.-RCXCX:0000:2A←写入字节数,即为程序结尾地址减起始地址-ntan.com←设置文件名,需后缀为com-wWring002Abytes-qA:\>TAN←即可执行此程序*"XD"命令:释放EMS内存例:-XD0001handle0001deallocatel←释放了利用XD释放后可再分配*"XM"命令;把扩充内存上的内存页区映射到主内存区格式:XMRAM长页码主内存页码句柄例:-XM320001←把0001号句柄的第3号逻辑页区映射到2号真实页区Logicalpage03mappedtophysicalpage02*"XS"命令:显示当前EMS使用情况。格式-XS实用debug命令集锦1. 非物理0磁道坏软盘的修复此种损坏从软盘盘面上来看并没有明显的划伤和霉变。一般可以恢复其数据,也可是软盘重新在利用。处理方法如下:ⅰ.进入debugⅱ.取一张引导区没有损坏的好磁盘,插入软驱-l100001ⅲ.插入损坏的磁盘到软驱-w100001-q注意:好盘与坏盘容量必须相同2.物理0磁道坏软盘中的数据读取对于0磁道损坏的磁盘,一般来说是应该抛弃了,当你也不妨试一试已下方法:磁化处理:用较强的磁铁在靠近坏磁盘的表面处反复移动,切不可碰到磁盘介质,以免划伤表面,然后在试试格式化。软盘换面:小心的将磁盘打开,坚磁片与金属芯片分开,方面后再按原来的方法粘在一起即可,在重新格式化。diskfix:对于diskfix想必大家都用的比较多了,里面的磁盘修复功能很好用的。能修复大多数磁盘表面错误。dump文件是逆向中经常会遇到的一个问题。如果病毒将恶意模块解密出来后,直接在内存中加载执行,就不会有文件释放。为了能够使用IDA分析恶意模块功能或者单独调试,需要将它dump下来,即转存为文件。
但dump之前有一个问题,原始文件的大小是多少呢?
比如像下面这样,病毒解密出PE文件内容后将其分段写入其他进程。这里我们可以定位到PE文件在内存中的起始地址0x011860D0,可以看到“MZ”标志。现在的问题是,结束地址是什么?
图片
可以有3种方法:
直接往后拖,看到哪里像是文件末尾,就当做结束地址。这种方法需要非常丰富的逆向经验,适用于少数逆向大佬。
直接拖到内存块末尾,把它当做结束地址。这种方式也不是不可以,毕竟很多时候,解密出来的PE文件都是放在单独一块内存中的 ,而且就算dump出的文件末尾多了一些内容,也不会影响分析,但如果要提取文件的MD5的话就麻烦了。
根据PE结构计算出原始文件的大小。
图片
我们先看一下PE文件的结构及其在内存中的映射方式。PE文件主要分为DOS头部、PE文件头、块表、各区块以及文件末尾的不能映射部分(如调试信息等,在逆向时用处不大,而且很多时候都没有这部分)。
图片
其中除了不能映射部分,其他部分的大小我们都是可以通过解析PE文件获取到的。我们现在只是需要获取总的大小,可以先把DOS头部、PE文件头、块表这几部分dump出来。只需要找到块表的位置即可,在内存中很容易找,一般带有“.text”、“.data”这样的区块名字符串,这里由于dump对象加了upx壳,所以区块名是“UPX0”“UPX1”,也是同样的道理。
图片
如果不确定块表的结束地址的话,直接找到后面0x00结束的地方全部dump下来就可以了。这里是0x11864AA,大小为0x3DB。dump多了也没关系,这里不需要精准。
图片
用LoadPE dump下来。
图片
将dump下来的PE头放到DIE里面,主要关注“Offset”和“R.Size”两项,分别表示区块在文件中的偏移以及大小。我们直接找到最后一个区块“UPX2”的偏移以及大小:0x66a00,0x200。相加为0x66c00,即为需要dump文件除了文件末尾不能映射部分以外的大小。
图片
重新dump。
图片
Dump出的文件的hash值可以在VT中找到,说明这是一个完整的文件。
图片
由于在这个例子中,被dump的文件没有文件末尾的不能映射部分,所以能够精确dump。如果有这部分内容的情况下,就不能做到精确了,毕竟PE文件末尾的这部分大小是没有办法通过计算获取到的。不过对于被dump的文件,这部分内容对于分析它是没有影响的,只是会影响提取MD5。
图片
