第一次自幹debugger就上手

第一次自幹DEBUGGER就上手軟體除錯器撰寫 SITCON 2014

About Me • LegBone(蔡耀德) • TDOH 南區召集人 • 本業是廚師，coder 的身份
只是掩飾，平常最大的興趣就是到處亂拆，debug 只是為了世界和平，來自傳說中的黑暗料理界。 • 慣用Visual C/C++,asm • 平常到處拆點東西 • 不務正業

以下內容如果有錯誤,歡迎指正

What is debugger?

相信大家寫code常用到 (Micro$oft visual studio)

當你SOURCE CODE 不見又想修改的時候... (OllyDbg)

還有你想註冊的時候…疑!? (LegDbg)

「有了Debugger Cracking也是彩色的」 -貝拉克.歐巴馬

今天的重點

可以對64-bit的程式除錯的Debugger

跳坑的起因

撰寫工具:Visual Studio 2013

先來談談Debugger的運作原理

透過中斷系統以及自己程式裡面接收被Debug行程的異常來進行處理

Well……聽起來很複雜很麻煩

但是M$很好心的幫我們封裝好了 Debug函數

首先要Debug一個process就要先以 Debug模式啟動建立一個Debug的執行緒 DEBUG_ONLY_THIS_PROCESS

使用範例 CreateProcess(“要啟動程式的路徑”, NULL, NULL, NULL, False, /* bInheritHandles */ /*
DWORD dwCreationFlags */ DEBUG_ONLY_THIS_PROCESS, NULL, NULL, &si, &pi)

異常訊息接收在我們自己的程式裡面,也有一個迴圈在等著接收異常訊息 while (!isExit&&WaitForDebugEvent(&de, INFINITE)) 由de.dwDebugEventCode裡面的異常訊息來判斷除錯的目標發生的異常事件

顯示數值很單純就用ReadProcessMemory這個WINAPI去讀取

補充資訊 • 64-bit的CPU底下有16個通用暫存器 • 其中，R8到R15，是新增的；而前面的八個暫存器，RAX、 RBX、RCX、RDX、RBP、 RSP、RSI、RDI，是把原有的 32
位元加以擴充而成。 32位元 64位元 EAX RAX EBX RBX ECX RCX EDX RDX EBP RBP ESP RSP EDI RDI EIP RIP R8 R9 R10 R11 R12 R13 R14 R15

顯示暫存器內容從CONTEXT這個結構體中取得暫存器內容 CONTEXT ctThreadContext; ctThreadContext.(暫存器名稱)就可以存取了

顯示堆疊內容 ESP <= 在32-bit中是堆疊指標暫存器只不過在64-bit底下ESP變成RSP 所以讀取程序的RSP就可以了

攔截載入DLL訊息攔截到LOAD_DLL_DEBUG_EVENT訊息後,在對他做出相關的回應

顯示組合語言內容由於自己刻一個反組譯核心工程太大了,所以用了一個Open source的反組譯核心BeaEngine

然後由於這個64bit的除錯器的反組譯核心是開源的…… 整個除錯器也是參考一款32bit的除錯器寫出來的…… 所以…………………

它也是Open source

只不過下載回去的使用者請安裝 http://www.microsoft.com/zh- tw/download/details.aspx?id=40770 讓VS2013支援多位元組字元集

請各位有興趣的大大一起修改它,完善它,希望有朝一日它可以成為64bit 底下的ollydbg! <(_ _)>

工商服務時間由於莫風大大去年還是沒徵到另一伴… 誠徵女友!! 有興趣請洽大大本人 <(_ _)>

The Declaration of hacker (TDOH)

如果你對資安有興趣

也對我們想作的事情有興趣

可以到這邊了解我們 ↓ http://tdohacker.org/

也可以在FB上搜尋 "The Declaration of hacker"

等一下還有我們的總召集人的 Lightning Talk 敬請期待

第一次自幹debugger就上手

第一次自幹debugger就上手

More Decks by LegBone

Other Decks in Research

Featured

Transcript