逆向學習筆記二
逆向分析學習筆記旨在與小伙伴們分享小編們的學習心得,主要為一些短小但又精華的小技巧,具體如下:
一、PE文件各區段解釋(區段名稱跟功能沒有必然關系,這里只是說明常見的定義):
.code或.text段:存放程序的代碼數據。
.data段:存放程序運行使用的數據。
.rdata或.idata段:程序的導入表數據。
.edata段:程序的導出表所在的節。
.rsrc段 :程序資源節,為多層的二叉排序樹,節點指向PE文件的各種類型資源(圖標、對話框、菜單等)。
.reloc段:重定位表所在的節,當程序的加載基址被占用時,要重新分配加載基址,重定位表就用來處理由此產生的問題,加載基址改變之后,程序里的有些數據(如部分全局變量等)地址是寫死的,程序加載時將這些數據的地址更新,重定位表就用來存放需要重定位的數據信息。
二、Windbg界面雖然不怎么友好(看雪提供有Windbg高亮插件),偶爾也是可以用來分析應用層程序的,但是Windbg剛加載程序時是在系統斷點處斷下的,可以載入程序之后在命令行設置斷點bp $exentry,再運行就會在程序的入口點斷下的。
三、將Windbg設置為默認調試器的方法為在命令行轉到Windbg程序的目錄下,輸入Windbg –I,如果Windbg.exe的目錄已經添加到了系統環境變量里,就不用再Cd進Windbg程序的目錄了。設置默認調試器可以在程序出現異常時自動掛載程序到出異常的位置,在調試漏洞Poc時非常有用,如果Poc觸發了異常就會自動調用Windbg到出問題的代碼處。
四、Windbg進行本地調試時需要將系統的調試開關打開,命令為:bcdedit -debug on ,重啟生效,同理:bcdedit -debug off為關閉調試開關。
五、使用Windbg進行源代碼調試驅動程序時必須首先安裝與系統相對應的符號文件,如果驅動程序對應的源碼名稱為QS2HU4.c,在驅動的入口設置斷點的命令為bp QS2HU4!DriverEntry,其中QS2HU4為源碼文件名、DriverEntry為驅動的入口函數名(相當于C程序中的Main函數),使用WinDbg打開QS2HU4.c文件之后再加載驅動,就會在源碼中DriverEntry函數哪一行斷下。(Windbg根據符號文件找出DriverEntry函數位置~)。
六、Windbg調試驅動程序出現藍屏時,可以根據提示輸入并執行!analysis -v,查看系統崩潰的詳細信息,比如錯誤碼C0000005代表非法內存訪問等,雖然也能將定位到出現錯誤的源代碼中的行或具體的某句匯編指令,但是情景復雜的情況往往需要進行棧回溯等等方法尋找出錯的根源。
七、Windbg中查看錯誤碼含義的指令為!error 錯誤碼。例如!error 2。
八、棧溢出主要有覆蓋返回地址、覆蓋虛表指針、覆蓋SEH異常處理鏈表等形式。
九、堆溢出一般發生在指針拆卸出錯,可造成固定地址寫任意數據、任意地址寫固定數據、任意地址寫任意數據等,目前此類型漏洞在Windows系列操作系統中發生的不多,在xp sp2之前的操作系統可以通過向系統關鍵地址處如進程控制塊中的指針等。Ps:路由器操作系統中利用堆溢出漏洞進行拒絕服務攻擊甚至是遠程代碼執行還很常見。
十、為了繞過Windows xp sp2及以上操作系統的dep保護機制,可以利用Immunity Debugger調試器的mona插件可以自動生成Rop鏈(好像是findantidep插件的升級版),當然可能還需要進行手工調試修正,首先把mona插件的python腳本下到手之后放到Immunity Debugger的plugin目錄下即可。
十一、在Immunity Debugger的命令行輸入!mona rop -m msvcr71.dll -n(前提是筆記十)。-m選項代表從后面的msvcr71.dll中獲取rop鏈,-n代表過濾掉null byte,也就是“X00″,避免Rop數據被類似strcpy的字符串拷貝函數拷貝時被截斷出錯,命令執行之后就可以得到ruby、python等各種語言格式的Rop鏈啦~
十二、在使用Immunity Debugger的mona插件時,注意生成的Rop鏈中如果帶有Ascll字樣,代表構成Rop的這些數組的每一個字節的十六進制值都是小于0×80(128)的,也就是在Ascll字符表示范圍內,使用這種Rop鏈的一個好處就是可以避免MultiByteToWideChar和WideCharToMutiByte函數對輸入數據的ANSIC與寬字符之間的轉換,如果漏洞利用調試過程中自己的利用代碼出現了類似的小意外不妨從這里找找原因。
十三、IDA:有時候感覺用IDA的圖形視圖看匯編代碼真是一種享受,不過IDA的強大之處還不止此,不僅可以對字符串、函數找到其交叉參考(查看該字符串或函數的調用情況,便于追根溯源),還有出色的代碼標注功能及N多強大的插件(⊙o⊙)哦,比如:hexray……
十四、IDA的hexray插件功能非常強大,可以將匯編代碼反編譯成的類c語言的偽代碼,用法也非常簡單:在某調用函數反匯編代碼的圖形視圖按下F5鍵就有驚喜(⊙o⊙)哦(在反匯編代碼視圖中光標選定位置F5之后就會得到光標所在函數的反編譯代碼),這技術還不是非常成熟,但是IDA反編譯出的結果還算準確,測試時可以把int 3指令反編譯成debugbreak()。(最好不要濫用該技能,建議老老實實的看匯編代碼,慢慢打基礎)。
十五、IDA以靜態反匯編出名,也可以進行調試分析的,看菜單工具欄選項或F9快捷鍵體驗一下吧,個人感覺效果、功能雖不如od的動態調試,圖形視圖下的調試還算不錯的,結合Windbg調試就更爽了。。。
十六、如果一些窗體程序使用起來不合你的胃口,比如說對話框太小了、圖片太丑了,先不用考慮放棄這個程序,試試ResHacker、eXeScope等資源編輯工具吧,操作簡單,還能將一些灰色按鈕的限制功能取消掉(找到相應的屬性,修改之后再Rebuild),也是進行漢化操作等的利器。
十七、程序加載到內存時需要根據導入表的結構將程序運行所需要的API函數地址填充到IAT(導入函數地址表)的地址,程序運行時導入表的結構是用不到的,所以一些外殼程序會把導入表結構銷毀掉,如果在脫殼過程中對其進行Dump內存鏡像的操作之后,得到的程序就沒有導入表結構,無法提供程序運行時的API地址信息,導致出錯。這也就是為什么Dump內存鏡像之后要進行導入表修復操作。
十八、硬件斷點:常用的CPU都有8個調試寄存器Dr0-Dr7,其中Dr0-Dr3用于存放設置硬件斷點的地址(所以硬件斷點最多只能設置四個),Dr4-Dr5一般用于保留,Dr6-Dr7用于指示硬件斷點的設置個數及屬性(讀、寫中斷)等。
