eclipse 逆向调试 java程序--- 调试|远程调试(含本地)|爆破软件
一、常用快捷键
全局 单步返回 F7
全局 单步跳过 F6
全局 单步跳入 F5
全局 单步跳入选择 Ctrl+F5
全局 调试上次启动 F11
全局 继续 F8
全局 使用过滤器单步执行 Shift+F5
全局 添加/去除断点 Ctrl+Shift+B
全局 显示 Ctrl+D
全局 运行上次启动 Ctrl+F11
全局 运行至行 Ctrl+R
全局 执行 Ctrl+U
二、 如何确定目标软件跑到了java中
2.1界面提示由awt.dll提供;
2.2 进程启动参数
三、 java远程调试目标软件(本地调试也可)
3.1 创建一个空的java的工程,备用;
3.2 获取远程软件的启动参数
两种方法:
第一种,使用OD调试起来,到起进程的地方断得到启动参数;
另一种,比较快得到进程启动参数的方式:使用Process Explorer,找到进程右键属性,可以看到启动参数command Line,这个就是exe的启动参数;
3.3 使用启动参数,编写批处理
用启动参数编写批处理;将\\ 改为\ ;
3.3.1 设置目标软件为服务器端,eclipse为客户端 的调试
将-Xdebug -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=8000 写在启动参数中。
dt_socket:使用的通信方式
server:是主动连接调试器还是作为服务器等待调试器连接
suspend:是否在启动JVM时就暂停,并等待调试器连接;
address:地址和端口,地址可以省略,两者用冒号分隔,如果不写地址,默认为localHost。
此时,eclipse作为客户端,选择连接的类型为 “标准(套截字连接)”
“调试配置界面”Debug Configurations,新建Remote Java Application,设置好后,点击调试按钮,将eclipse调试起来;可以在调试界面,看到“正在等待VM连接到端口8000”
另外,也可以设置eclipse为服务器端,设置监听,设置目标软件为客户端,这样,原厂启动的时候,eclipse 就会断在main函数处;
设置eclipse 为服务器端: “甲壳虫“-调试配置--- ”“远程java引用程序“---”“选项目JAveTest” ----选择连接的类型为 “标准(套截字帧听)”-连接属性会自动变为 Port = 8000;
-agentlib:jdwp=transport=dt_socket,address=127.0.0.1:8000,suspend=y
如果是远程调试,address要写上IP;
3.3.2 -jar 【参考jar】
将参考使用的AAAA.jar写在-jar后面,这样启动eclipse调试就能到这个jar里面去;
实际上运行的就是-jar 后面的这个jar包;
3.4 将jar文件导入到工程中
使用eclipse ,新建一个工程,在工程中添加jar,进行调试;
工程名,右键属性,java构建路径,库中选择“添加外部jar“,选择需要调试的jar即可;如果当前路径下的jar删掉了 ,工程属性中就会显示缺少;
或者使用jd-GUI,直接可以打开jar包,可以看到.class ;
3.5 eclipse 需要有反编译器才行,
设置反编译器---“首选项”-反编译器 里面---调试设置-下的两项都打勾,
“以注释方式输出原始行号信息”、”根据行号对齐代码以便于调试”,这样就能在代码中看到有行的注释,
例如:/* 86 */ this.value = value;
否则,不能下断调试。
4、 使用jd-GUI 打开jar,可以将java代码导出来,用UE搜索关键字,静态分析代码;
5、 java修改目标软件字节码,达到爆破软件的目的
5.1 使用高级语言java修改,修改后需要重新编译成jar能行(没有试过,听说比较麻烦);
5.2 使用dirtyJOE修改字节码(修改字节码),修改后放回jar,可以直接使用;
具体步骤: 将jar包后缀改成zip,使用解压工具将需要修改的.class 文件拿出来,使用工具dirtyJOE修改字节码逻辑,然后再将修改后的class放回到zip中,然后将zip改为jar后缀,即可;
注意:dirtyJOE 只能修改字节码,不能删除字节码;不能使用goto 0xA7,ireturn 0xAC,return 0xB0;
常见的修改:函数常量参数(立即数)、跳转目标地址、ife|ifne(0x99 改为0x9A)、ifge 0x9c | ifle 0x9e、If_icmplt 0xA1 改为 if_icmpgt 0xA3