Gdb print format binarne opcje

Mam GDB, ale binarny chcę inżynier odwrotny dynamicznie nie ma symboli, to znaczy, gdy uruchamiam narzędzie do plików, które pokazuje mi pozbawione: jakie opcje mam, jeśli środowisko, w którym działa, nie zezwala na zdalne zdarzenie IDA Pro, aby połączyć się gdbserver. Krótko mówiąc: środowisko, które masz jest ograniczone w tym, co pozwala zrobić, ale masz zaufanie starego gdb i binarnego do inżynierii wstecznej. zapytał 27 kwietnia 13 na 3:13 Konwencje użyte i wstępne uwagi Przycinam dane GDB w skrócie, ponieważ zwykle pokazuje on prawa autorskie i inne informacje na początku każdej sesji. Podczas odczytu wyjścia I zaczynamy od pierwszej linii (gdb), lub w przypadku lub autouzupełnianych poleceń od pierwszej oryginalnej linii wyjściowej. Aby rozróżnić komendy wprowadzone w wierszu polecenia GDB, będą miały wiodący (gdb) tak samo jak w rzeczywistym świecie. Jeśli chodzi o polecenie powłoki, to w ogóle nie będzie żadnej prefiksu lub, jak się wydaje, konwencji dotyczącej większości systemów uniksoidowych. Kiedy używam określonego polecenia, takiego jak vim jako mój edytor, możesz oczywiście używać własnego ulubionego edytora. Czy to emacs czy nano. Nie oceniam cię) Pierwsze kroki Ta sekcja dotyczy konfigurowania środowiska gdb i rozpoczęcia procesu. Ja też mam kilka ciekawostek dla nowych przybyszów. Triki, o których powinieneś wiedzieć, GDB ma ładny monit, na którym kursor przestanie działać po przerwie w programie lub w każdym kroku lub trochę. Naciśnięcie przycisku RETURN (aka ENTER) po uruchomieniu polecenia GDB spowoduje ponowne uruchomienie tego samego polecenia. Jest to użyteczne podczas przechodzenia przez kod krok po kroku i po prostu chcesz kontynuować kolejne. Komendy mogą być skracane pod warunkiem, że są jednoznaczne. W przypadku niektórych z nich użyto określonego skrótu, który ma pierwszeństwo pomimo niejednoznaczności: b dla przerwy (pomimo bt i backtrace) c lub cont for continue (pomimo złapania, wywołania itd.) N dla następnej (pomimo ni i nexti) Możesz zadzwonić rzeczywiste funkcje biblioteki, a nawet funkcje z debugowanego programu przy użyciu wywołania poleceń. Oznacza to, że można wypróbować zachowanie lub zachować życie. Możesz uruchomić GDB z gdbtui lub gdb - tui, aby uzyskać - przypuszczalnie bardziej wygodny - bardziej wizualny interfejs użytkownika. Pokazuje kod źródłowy u góry i monit (gdb) poniżej. Można również przełączyć się na ten układ, wykonując układ poleceń src w wierszu polecenia (gdb). GDB posiada funkcję uzupełniania wiersza poleceń, podobnie jak wiele powłok, więc skorzystaj z Tab, a także upewnij się, że korzystasz z pomocy lub pomóż komendowi kluczowemu, gdy potrzebujesz pomocy. powłoka umożliwia wykonanie poleceń w skorupie, dzięki czemu można uruchamiać polecenia z sesji GDB. W trakcie projektowania przykładem byłaby makieta powłoki. wydrukować. zbadać i wyświetlać informacje o różnych formatach (FMT), które można wykorzystać, aby uczynić produkt bardziej czytelny. Jeśli debugowanie na poziomie źródłowym umożliwia wyświetlanie wartości, można użyć odlewania typu C. Wyobraź sobie ciąg C za pustką (GDB wie dzięki symbolom w takim przypadku). Wystarczy rzutować na (char) i wydrukować: print (char) variable. Uruchomienie procesu Ponieważ chcemy dynamicznie analizować binarne, musimy go najpierw uruchomić. Wiersz poleceń Możemy to zrobić prosto z wiersza poleceń, przechodząc nie tylko ścieżkę do pliku binarnego, ale również argumenty, z którymi chcemy go uruchomić. Cały proces wygląda tak: wystarczy. W wierszu polecenia (gdb) można uruchomić polecenie run (shorthand r), aby uruchomić. exe z parametrami podanymi w wierszu poleceń. Wolę tę metodę, ale Twój przebieg może się różnić. Polecenie GDB Podpowiedź GDB i na gdb (prompt gdb) używają polecenia file do załadowania binarnego, a następnie użyj komendy run, aby ją uruchomić z argumentami, które chcesz przekazać: alternatywą dla powyższego byłoby użycie set args to: Możesz też zobaczyć, czy argumenty, które przebiegną, przechodzą do uruchomionego procesu, wydając polecenie: btw: jeśli zastanawiasz się nad zmiennymi środowiskowymi, skorzystaj z wbudowanej pomocy GDB w zestawie pomocy i pomocy. Wskaźniki: ustaw środowisko VARNAMEVALUE i pokaż środowisko VARNAME i zresetuj środowisko VARNAME. Phew, ale dlaczego program zatrzymuje się z SIGSEGV (błąd segmentu) Cóż, jeszcze nie wiem, ale wygląda na to, że ta mała bizeria chce właściwego leczenia. Ponieważ ćwiczymy obronne obliczenia, nie chcemy uruchomić niczego, czego nie wiemy dużo, dobrze Więc zacznijmy od początku. Jeśli to byłoby złośliwe oprogramowanie musi być przerzucone na maszyną i ponownie zainstalować lub przywrócić migawkę, jeśli jest jej gościem VM. Najpierw chcę uruchomić polecenie informacyjne w następujący sposób: Są dwa ważne informacje, najbardziej istotne dla nas jest linia stwierdzająca: w porządku, więc możemy ustawić punkt przerwania na tym, a następnie uruchomić proces z argumentami, które fantazyjny..gdbinit za zwycięstwo Ale poczekaj, to już żmudne. Nie ma prostej metody automatyzacji tych kroków w jakiś sposób W istocie jest. Plik o nazwie. gdbinit może być używany do wydawania poleceń do GDB podczas uruchamiania. Można także przekazać plik za pomocą poleceń GDB używając argumentu - x w wierszu polecenia (powłoki). Jeśli mam wiele projektów, zazwyczaj są one w podkatalogach z każdym plikiem. gdbinit. Uwaga boczna: - nx zapobiega wykonaniu zawartości. gdbinit podczas uruchamiania. Więc wiemy, które argumenty chcemy przekazać i znamy adres punktu przerwania, to przekłada się na następujący plik. gdbinit: Wyjście, które pojawia się podczas uruchamiania gdb bez żadnych innych argumentów: Nicea, ale wygląda inaczej. Montaż i GDB Więc ty widzisz następną linię, którą chcesz wykonać, a następnie twój zaufany stary (gdb) monit. Ale nic takiego. Nie mamy żadnego źródła tego binarnego, a ponadto symboli. Doh Więc zastanowimy się nad mrugającym karetką (gdb) i zastanawiam się, co zrobić. Nie martw się, GDB może również obsługiwać kod zestawu. Jedyny problem polega na - moim zdaniem - niewłaściwej składni montażu ATampT. Wolę Intel smak i następujące polecenie mówi GDB, aby to zrobić: Pokaż kod zespołu I jak to będzie pokazać nam kod montażowy Cóż, podobnie jak w trybie TUI (sprawdzić wiki tag dla gdb), używając następujących polecenie: a jeśli jesteś tak skłonny, również: co również pokaże zawartość rejestrów w przeglądarce. Pozwól nam to uruchomić Więc skończymy z następującymi ggdbinit dla naszych celów: a kiedy zaczynamy gdb bez argumentów, skończymy na tym: Sweet. Widzimy więc demontaż podczas przechodzenia przez kod. Możemy to zakończyć tutaj, ale oczywiście jest więcej sztuczek, których można się nauczyć, więc dlaczego nie pójść trochę dalej. UWAGA: rejestry z tłem whitegray pokazują, że wartość uległa zmianie. Niewiele znaczące, gdy właśnie zaczęliśmy program, ale potężne po przejściu przez kod później. btw, jeśli wolisz zapisać osiedle ekranu i mieć mniej wizualne działanie, począwszy od GDB 7.0 możesz użyć: w wersjach GDB, zanim będziesz emulować zachowanie przez ustawienia automatycznego wyświetlacza: lub krótszego komputera, gdzie i jest formatem, najlepiej pamiętać o tym, czy instrukcje i komputer są wskaźnikiem instrukcji, znanym także jako licznik programów - stąd pc. Również dobrze wiedzieć Czasem, gdy przechodzisz przez montaż regs i asm views będą borked. Po prostu wykonaj odpowiednie polecenia układu, aby je przywrócić do starej chwały: Debugowanie na poziomie zespołu Okazuje się, gdy jesteś w trybie zespołowym niektóre z poleceń, z których korzystasz od debugowania na poziomie źródłowym, po prostu nie działają. Ma to sens, ponieważ pojedyncza linia źródłowa oznacza zazwyczaj kilkanaście instrukcji lub więcej. Następujące i krokowe polecenia mają jednak poziomy poziomu instrukcji: nexti (skrót ni nikt inny, kto myśli o krzakach) stepi (skrót si) Z naszego demontażu powyżej wiemy: i dla wszystkich praktycznych celów jest to główna funkcja. Oczywiście, jeśli miałeś zamiar zainspirować szkodliwe oprogramowanie, powinieneś być ostrożny, ale w tym przypadku jest. Pozwól na dodanie punktu przerwania do tego adresu (0x40f961) zamiast punktu wejścia: Jeśli przeanalizujemy (skrót x) kod, na którym aktualnie znajdujemy się, możemy zobaczyć: Dobra, połączenie to co chcemy podążać, więc krok wewnątrz tego używając si. Gdy wejdziemy do funkcji, wejdziemy do funkcji: wywołanie prowadzi nas do funkcji, która wywołuje ptrace (PTRACETRACEME.). to dlaczego to zrobił? Cóż, jest to stara sztuczka anty-debugera, którą Mellowcandle opisał w innym QampA tutaj: Ale jak się obejść? Śp. musi nadpisać wywołanie funkcji, która wywołuje ptrace () z nopem lub czymś wzdłuż te linie. To tam GDB staje się trochę niewygodne. Ale możemy użyć zestawu tak zrobić dla nas magię. Pozwala sprawdzić bajty instrukcji: 0xe8 jest instrukcją wywołania i wiemy teraz, że ma długość 5 bajtów. Pozwól temu. (x10b pc oznacza zbadać 10 bajtów w liczniku programów - domyślny format jest już szesnastkowy). Więc robimy to, gdy zatrzymaliśmy się w 0x40911f: i sprawdź poprawioną lokalizację: Excellent. Możemy teraz to wykonać. Alternatywy dla danej metody alternatywą dla łatania: zestaw 0x40911f 0x90909090, a następnie zestaw 0x409123 0x90 Manipulowanie licznikiem programów (wskaźnik instrukcji) zamiast: ustawianie pc5 lub bardziej wyraźnego zestawu pcpc5 skok pc5 Lepsze sposoby jeszcze manipulowaćpod uruchomiony program Istnieją alternatywne (i lepszy sposób) takie jak Tavis Ormandy. Im odtwarzanie makr montażowych poniżej (w przypadku, gdy jest on offline z innego miejsca): Ponownie powyższy fragment skryptu nie został napisany przez mnie, ale przez Tavis Ormandy - patrz link powyżej. To kończy ten mały QampA.8.4 Formaty wyjściowe Domyślnie GDB drukuje wartość w zależności od typu danych. Czasem nie jest to, czego chcesz. Na przykład możesz wydrukować numer w formacie szesnastkowym lub wskaźnik w formacie dziesiętnym. Lub możesz wyświetlić dane w pamięci w określonym adresie jako ciąg znaków lub instrukcję. Aby to zrobić, określ wartość formatu wyjściowego podczas drukowania wartości. Najprostszym sposobem wykorzystania formatów wyjściowych jest powiedzenie, jak wydrukować już obliczoną wartość. Odbywa się to uruchamiając argumenty polecenia wydruku ukośnikiem i literą formatu. Obsługiwane formaty liter: x Uwzględniaj bity wartości jako liczbę całkowitą i wydrukuj liczbę całkowitą w szesnastce. d Drukuj jako liczbę całkowitą w znak dziesiętny. u Wydrukuj jako liczbę całkowitą w unsigned decimal. o Wydrukuj jako liczbę całkowitą w ósmym ósmym. t Drukuj jako liczbę całkowitą w binarnie. Litera t oznacza dwa. (2) Drukuj jako adres, zarówno bezwzględny, jak szesnastkowy i jako przesunięcie z najbliższego poprzedniego symbolu. Możesz użyć tego formatu do wykrycia, gdzie (w jakiej funkcji) znajduje się nieznany adres: Symbol informacji o poleceniu 0x54320 daje podobne wyniki. Patrz symbol informacji o przekroju. c Rozważ jako liczbę całkowitą i wydrukuj ją jako stałą znakową. f Uważaj na bity wartości jako liczbę zmiennoprzecinkową i drukuj za pomocą typowej składni zmiennoprzecinkowej. Na przykład, aby wydrukować licznik programów w formacie szesnastkowym (zobacz sekcję 8.10 Rejestry), wpisz Zauważ, że przed ukośnikiem nie jest wymagane miejsce, ponieważ nazwy poleceń w GDB nie mogą zawierać ukośnika. Aby ponownie wydrukować ostatnią wartość w historii wartości w innym formacie, można użyć polecenia drukowania tylko w formacie i bez wyrażenia. Na przykład px ponownie drukuje ostatnią wartość w hex. GNU GDB Debugger Command Cheat Sheet Kompiluje się z opcją - g (dla większości kompilatorów GNU i Intel), która generuje dodatkowe informacje w kodzie obiektu, aby debuger mógł dopasować linię kodu źródłowego do etap realizacji. Nie używaj do optymalizacji kompilatora, takich jak - O lub - O2, które przekształcają operacje obliczeniowe, aby uzyskać szybkość, ponieważ ponowne sortowanie nie odpowiada kolejności wykonywania kodu źródłowego i może być niemożliwe do naśladowania. controlc: Zatrzymaj wykonanie. Może zatrzymać program w dowolnym miejscu, w źródle lub bibliotece C lub w dowolnym miejscu. Aby wykonać komendę powłoki: komenda lub polecenie shell Polecenie GDB: użyj informacji o kluczu TAB info bre TAB wypełni polecenie powodujące informacje o punktach przerwania. Naciśnij dwukrotnie TAB, aby wyświetlić wszystkie dostępne opcje, jeśli dostępnych jest więcej niż jedna opcja lub wpisz M - RETURN. Powtarzanie poleceń GDB: info bre RETURN będzie działać jak bre jest ważną przerwą dla punktów przerwania Odwołanie do kontenerów STL: wyświetlanie klas kontenerów STL przy użyciu nazwy zmiennej GDB p powoduje ukrycie definicji szablonów i wskaźników. Użyj poniższych. plik gdbinit (V1.03 091508). Teraz współpracuje z GDB 4.3. (Archiwizowane wersje: tylko V1.01 GDB 6.4) Dzięki doktorowi Eng. Dan C. Marinescu o zgodę na opublikowanie tego scenariusza. Skorzystaj z następujących poleceń: