Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第一次自幹debugger就上手
Search
LegBone
March 16, 2014
Research
1
950
第一次自幹debugger就上手
LegBone
March 16, 2014
Tweet
Share
More Decks by LegBone
See All by LegBone
SITCON2015-列印點數歡樂談
cowby123
0
340
東華大學資工周-我的程式安全嗎
cowby123
0
150
Other Decks in Research
See All in Research
2021年度-基盤研究B-研究計画調書
trycycle
PRO
0
300
Type Theory as a Formal Basis of Natural Language Semantics
daikimatsuoka
1
290
VectorLLM: Human-like Extraction of Structured Building Contours via Multimodal LLMs
satai
4
210
CVPR2025論文紹介:Unboxed
murakawatakuya
0
150
[CV勉強会@関東 CVPR2025] VLM自動運転model S4-Driver
shinkyoto
2
480
多言語カスタマーインタビューの“壁”を越える~PMと生成AIの共創~ 株式会社ジグザグ 松野 亘
watarumatsuno
0
120
MIRU2025 チュートリアル講演「ロボット基盤モデルの最前線」
haraduka
15
8k
SSII2025 [TS2] リモートセンシング画像処理の最前線
ssii
PRO
7
3.1k
AI エージェントを活用した研究再現性の自動定量評価 / scisci2025
upura
1
150
スキマバイトサービスにおける現場起点でのデザインアプローチ
yoshioshingyouji
0
230
SSII2025 [TS3] 医工連携における画像情報学研究
ssii
PRO
2
1.3k
20250624_熊本経済同友会6月例会講演
trafficbrain
1
620
Featured
See All Featured
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Site-Speed That Sticks
csswizardry
10
820
Docker and Python
trallard
46
3.6k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
Gamification - CAS2011
davidbonilla
81
5.4k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.2k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.7k
Statistics for Hackers
jakevdp
799
220k
Transcript
第一次自幹DEBUGGER就上手 軟體除錯器撰寫 SITCON 2014
About Me • LegBone(蔡耀德) • TDOH 南區召集人 • 本業是廚師,coder 的身份
只是掩飾,平常最大的興趣 就是到處亂拆,debug 只是 為了世界和平,來自傳說中 的黑暗料理界。 • 慣用Visual C/C++,asm • 平常到處拆點東西 • 不務正業
以下內容如果有錯誤,歡迎指正
What is debugger?
相信大家寫code常用到 (Micro$oft visual studio)
當你SOURCE CODE 不見又想修改的時候... (OllyDbg)
還有你想註冊的時候…疑!? (LegDbg)
None
「有了Debugger Cracking也是彩色的」 -貝拉克.歐巴馬
今天的重點
可以對64-bit的程式除錯的Debugger
跳坑的起因
撰寫工具:Visual Studio 2013
先來談談Debugger的運作原理
透過中斷系統以及自己程式裡面接 收被Debug行程的異常來進行處理
Well……聽起來很複雜很麻煩
但是M$很好心的幫我們封裝好了 Debug函數
首先要Debug一個process就要先以 Debug模式啟動 建立一個Debug的執行緒 DEBUG_ONLY_THIS_PROCESS
使用範例 CreateProcess(“要啟動程式的路徑”, NULL, NULL, NULL, False, /* bInheritHandles */ /*
DWORD dwCreationFlags */ DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &si, &pi)
異常訊息接收 在我們自己的程式裡面,也有一個迴圈在等著接收異 常訊息 while (!isExit&&WaitForDebugEvent(&de, INFINITE)) 由de.dwDebugEventCode裡面的異常訊息來判斷 除錯的目標發生的異常事件
顯示數值 很單純就用ReadProcessMemory這個WINAPI去讀取
補充資訊 • 64-bit的CPU底下有16個通用 暫存器 • 其中,R8到R15,是新增的; 而前面的八個暫存器,RAX、 RBX、RCX、RDX、RBP、 RSP、RSI、RDI,是把原有的 32
位元加以擴充而成。 32位元 64位元 EAX RAX EBX RBX ECX RCX EDX RDX EBP RBP ESP RSP EDI RDI EIP RIP R8 R9 R10 R11 R12 R13 R14 R15
顯示暫存器內容 從CONTEXT這個結構體中取得暫存器內容 CONTEXT ctThreadContext; ctThreadContext.(暫存器名稱)就可以存取了
顯示堆疊內容 ESP <= 在32-bit中是堆疊指標暫存器 只不過在64-bit底下ESP變成RSP 所以讀取程序的RSP就可以了
攔截載入DLL訊息 攔截到LOAD_DLL_DEBUG_EVENT訊息後,在對他 做出相關的回應
顯示組合語言內容 由於自己刻一個反組譯核心工程太大了,所以用了一 個Open source的反組譯核心BeaEngine
然後由於這個64bit的除錯器的反組 譯核心是開源的…… 整個除錯器也是參考一款32bit的除 錯器寫出來的…… 所以…………………
它也是Open source
只不過下載回去的使用者請安裝 http://www.microsoft.com/zh- tw/download/details.aspx?id=40770 讓VS2013支援多位元組字元集
請各位有興趣的大大一起修改它,完 善它,希望有朝一日它可以成為64bit 底下的ollydbg! <(_ _)>
DEMO
工商服務時間 由於莫風大大去年還是沒徵到另一伴… 誠徵女友!! 有興趣請洽大大本人 <(_ _)>
The Declaration of hacker (TDOH)
如果你對資安有興趣
也對我們想作的事情有興趣
可以到這邊了解我們 ↓ http://tdohacker.org/
也可以在FB上搜尋 "The Declaration of hacker"
等一下還有我們的總召集人的 Lightning Talk 敬請期待
Q&A