我编写(和销售)的软件在分发之前已经过压缩和加密。每次我发布一个新版本时,我会保留所有.map文件和生成的二进制文件,包括压缩和加密之前的文件。
当它在客户端的机器上崩溃时,我会得到一个minidump。我在Visual Studio中打开这些minidump并在那里进行探索。
我通过在.map文件中搜索地址来充分利用这些小型转储。这通常会让我进入代码的正确区域,我通常可以解释为什么崩溃发生并修复它,但这非常耗时。
如果我可以在minidump的调试中使用我从原始版本中保存的符号,将会很有帮助。
我的问题是我收到有关无法找到正确符号的警告。我的研究让我相信这是因为客户机上的exe的校验和与Visual Studio构建的exe的校验和不匹配。我理解为什么,它已被压缩和加密。当然校验和不匹配。
我想我可以手动编辑minidump或更改已保存二进制文件的校验和以匹配可分发的校验和。我宁愿操纵存储的副本,所以我不必修改进来的每个转储,但我会对它们保持静态。
所以,我的问题是:我如何找到这些校验和并弄清楚我应该用它们替换它们?作为辅助问题:有更好的方法吗?
答案 0 :(得分:5)
在不知道你是如何压缩和加密二进制文件的情况下,我很难非常具体。
John Robbins的这个blog post指出可执行映像通过嵌入在可执行文件PE头中的GUID与其PDB相关联。您应该能够通过在可执行文件上运行DUMPBIN / HEADERS并查找调试目录的输出来查看它。如果您的压缩和加密修改了PE标头,使得此信息不可用(或正确),那么它将解释您的调试器无法找到任何内容的原因。
我认为您可以采取一些方法来解决此问题。要真正尝试使其工作,您可能需要考虑使用WinDbg而不是Visual Studio调试器。你会明白为什么我马上推荐这个......
WinDbg提供了一些允许轻松加载符号文件的选项。使用此选项的想法是,如果源代码没有更改但二进制文件来自与PDB不同的构建,则可以放弃GUID检查并且可以加载不匹配的符号文件。我不知道这对你的压缩和加密有多好,所以YMMV。
WinDbg及其附带的工具可用于从可执行文件和PDB中转储GUID,但我现在暂时忽略它,因为我希望这些步骤不再必要。
在WinDbg中打开minidump后,您需要在命令行中输入几个命令才能使这一切正常工作:
.symopt +0x40
!sym noisy
ld <exe name>
第一个命令启用跳过GUID检查的SYMOPT_LOAD_ANYTHING选项。 !sym命令为符号加载启用详细输出,以便您可以看到更详细的错误消息。 ld命令指示WinDbg尝试加载您将在<exe name>位置键入的可执行文件名称的符号。如果重复ld命令,WinDbg将指示它是否第一次成功加载符号。
希望这有帮助 - 再次,我不知道这对你的压缩和加密有多好,但是值得一试。
答案 1 :(得分:0)
此压缩/加密是否与UPX类似?如果二进制文件的实际可执行内容正在发生变化(就像使用像UPX这样的工具),那么你将会运气不好(除非你喜欢用汇编语言调试复杂的应用程序)。您的软件真的如此重要/特殊,以至于它的二进制文件在交付之前需要加密吗?根据我的经验,调试故障转储的能力远比阻止人们对代码进行逆向工程更重要。