复杂样本里盲目打断点效率很低。这里固定一套断点顺序。
断点层次
- 入口断点:
_start/main。 - 行为断点:
malloc、memcpy、open、connect。 - 条件断点:根据寄存器或参数筛选路径。
- 观察点:监控关键地址的写入。
示例
break main
break memcpy if $rdx > 0x100
watch *(int*)0x404040
commands
bt
c
end结果
固定断点模板后,同类题平均定位时间显著下降。
复杂样本里盲目打断点效率很低。这里固定一套断点顺序。
_start / main。malloc、memcpy、open、connect。break main
break memcpy if $rdx > 0x100
watch *(int*)0x404040
commands
bt
c
end固定断点模板后,同类题平均定位时间显著下降。