ret-sync:用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件

微信扫一扫,分享到朋友圈

ret-sync:用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件

ret-sync是一组插件,用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件。

ret-sync

ret-sync的英文全称是 Reverse-Engineering Tools SYNChronization(反向工程工具同步)。它是一组帮助调试会话(WinDbg/GDB/LLDB/OllyDbg/OllyDbg2/x64dbg)与反汇编程序(IDA/Ghidra)同步的插件。其基本思想很简单:从两个不同的状态(静态和动态分析)中获取最佳结果。

调试器和动态分析为我们提供:

1. 带有动态上下文(寄存器、内存等) 的本地视图;

2. 内置专门的功能或API,例如:WinDbg的!peb, !drvobj, !address等。

反汇编和静态分析为我们提供:

1. 模块宏视图;

2. 代码分析、签名、类型等;

3. 形象的图形视图;

4.反编译;

5.在IDB / GPR中持久存储知识。

主要功能:

1. 将图形和带有调试器状态的反编译视图同步;

2. 无需处理ASLR,可实时重新定位地址;

3. 将数据(注释、命令输出)从调试器传递到反汇编器;

4. 多个IDB / GPR可以同时同步,从而可以轻松地跟踪多个模块;

5. 反汇编器和调试器可以位于不同的主机或VM上。

ret-sync是我在Quarkslab期间开发和维护的一个qb-sync分支。

存储库介绍

调试器插件:

ext_windbg / sync:WinDbg扩展源文件,生成:sync.dll

ext_gdb / sync.py:GDB插件

ext_lldb / sync.py:LLDB插件

ext_olly1:OllyDbg 1.10插件

ext_olly2:OllyDbg v2插件

ext_x64dbg:x64dbg插件

以及反汇编程序插件:

ext_ida / SyncPlugin.py

ext_ghidra / dist / ghidra _ * _ retsync.zip:Ghidra插件

运行的前提条件

IDA和GDB插件需要一个有效的Python设置来支持python2和python3。还需要argparse模块,它默认包含在2.7和更高版本的Python标准库中。

二进制发行版

针对WinDbg/OllyDbg/OllyDbg2/x64dbg调试器的预构建二进制文件是通过Azure DevOps管道提出的:

选择最后一个版本,然后在“Related”部分6 published中进行检查。

在ext_ghidra/dist中提供了Ghidra插件的预构建文档

ret-sync配置

对于大多数使用典型设置的用户而言,ret-sync应该是开箱即用的:调试器和反汇编器位于相同的主机上,模块名称匹配。

在某些情况下,仍可以使用特定配置。为此,扩展程序和插件会在用户的主目录中检查名为.sync的可选全局配置文件,它必须是有效的.INI文件。

此外,IDA和Ghidra插件还将首先在IDB或项目目录(  <   project   >   .rep)中查找配置文件,以允许按IDB /项目进行本地设置。如果存在本地配置文件,则忽略全局配置文件。

在这些配置文件中声明的值将覆盖默认值,请注意,默认情况下不创建.sync文件。

下面我们详细介绍三个配置文件有用/需要的常见场景:

1. 远程调试;

2. 模块名称不匹配;

3. 缺失的PID。

远程调试:调试器和反汇编器位于不同的主机上

[INTERFACE]部分用于自定义与网络相关设置,让我们假设有人希望将IDA与运行在虚拟机或另一个主机中的调试器进行同步,这是常见的远程内核调试场景。

简单地创建两个.sync文件:

一个在安装了IDA的计算机上的IDB目录中:

它告诉ret-sync IDA插件使用端口9234在接口192.168.128.1上进行侦听,所以,该接口必须可以从远程主机或虚拟机访问。

另一个在执行调试器的计算机上,位于用户的主目录中:

它告诉ret-sync调试器插件连接到之前配置为在此接口中监听的ret-sync IDA插件。

注意:你必须在此处指定一个真实IP,而不要使用0.0.0.0。这是因为该变量同时被多个源用于绑定和连接,因此使用0.0.0.0将导致奇怪的错误。

IDB和调试器模块名称不同

[ALIASES]部分用于自定义名称,反汇编程序(IDA / Ghidra)使用该名称将模块注册到其调度程序/程序管理器。

默认情况下,反汇编程序插件使用输入文件的名称。但是,可能已经预先重命名了该文件,并且该文件与调试器看到的实际进程或已加载模块的名称不再匹配。

我们只是简单地告诉调度程序匹配名称ntkrnlmp.exe(真实名称),而不是ntoskrnl_vuln.exe (IDB名称)。

具有Qt Creator调试前端的gdb

Qt Creator调试前端更改了gdb命令输出的记录方式,由于这会干扰同步,所以可以使用原始的gdb输出进行同步,而不是使用临时文件。在.sync配置文件中使用,过程如下:

如果你希望使用Qt调试前端作为目标,可以进行如上操作。

嵌入式设备和丢失的/proc/  <   pid   >  /maps

在某些情况下,例如通过QEMU中的串行或原始固件调试嵌入式设备,gdb无法识别PID,在这些情况下,[INIT]部分用于将自定义上下文传递给插件,它允许覆盖某些字段,例如PID和内存映射。

.sync内容提取:

映射中的条目分别是:mem_base、mem_end、mem_size、mem_name。

安装

IDA扩展

IDA先决条件

很简单,需要IDA 7.x分支。

安装IDA扩展

对于IDA安装,将Syncplugin.py和retsync文件夹从ext_ida复制到IDA plugins目录,例如:

运行IDA扩展

1. 打开IDB

2. 在IDA中运行插件(Alt-Shift-S)或Edit –   >   plugin –   >   ret-sync

IDA插件故障排除

要解决IDA扩展的问题,在文件retsync/rsconfig.py中有两个选项:

将LOG_LEVEL值设置为logging.DEBUG会使插件更详细。

将LOG_TO_FILE_ENABLE值设置为True会将broker.py和dispatch .py中的异常信息记录到专用文件中。日志文件是在名称模式为retsync.%s.err的%TMP%文件夹中生成的。

Ghidra扩展

构建Ghidra扩展

可以使用ext_ghidra/dist文件夹中的预构建版本,也可以按照说明进行构建。每个扩展版本只支持插件文件名中指定的Ghidra版本。例如,ghidra_9.1_PUBLIC_20191104_retsync.zip是针对Ghidra 9.1 Public的。

1. 安装Ghidra;

2. 安装gradle;

3. 为你的Ghidra安装构建扩展名(将$ GHIDRA_DIR替换为安装目录)。

安装Ghidra扩展

1. 在Ghidra项目管理器中:File-   >   Install Extensions …,单击+号并选择ext_ghidra / dist / ghidra _ * _ retsync.zip,然后单击OK。这将有效地将zip中的retsync文件夹提取到$ GHIDRA_DIR / Extensions / Ghidra /;

2. 根据要求重启Ghidra;

3. 重新加载Ghidra后,在CodeBrowser中打开一个模块。它应该告诉你已检测到新的扩展插件。选择“是”进行配置。然后勾选“RetSyncPlugin”,然后单击“确定”。控制台应显示以下内容:

4.从Ghidra CodeBrowser工具中:使用工具栏图标或快捷方式来启用(Alt + s)/禁用(Alt + Shift + s)/重新启动(Alt + r)同步。

状态窗口也可以从Windows-   >   RetSyncPlugin获得,你通常希望将其与Ghidra环境窗口集成。

WinDbg扩展

构建WinDbg扩展

可以使用预先构建的二进制文件,也可以使用ext_windbg中提供的Visual Studio 2017解决方案(如果需要,请 点此 参阅),这将生成x64releasesync.dll文件。

安装WinDbg扩展

你将需要将生成的sync.dll文件复制到相应的Windbg扩展路径中。

WinDbg Classic:

对于Windbg的早期版本,它如下这样(注意x86/x64):C:Program Files (x86)Windows Kits10Debuggersx64winextsync.dll。

Windbg预览

用于存储扩展名的文件夹似乎是基于PATH的,因此你需要将其放在查询位置。如下所示:

C:UsersuserAppDataLocalMicrosoftWindowsAppssync.dll

运行WinDbg扩展

1. 在目标上启动WinDbg;

2. 载荷扩展(.load命令);

3. Sync WinDbg:

在IDA的输出窗口中的示例如下:

如果Windbg当前模块与IDA文件名匹配:

WinDbg安装故障排除

如果出现以下错误,那是因为你没有按照上述步骤将文件复制到正确的文件夹。

下面的错误通常表示Windbg尝试加载错误的扩展名,例如:x86代替x64 sync.dll。

GNU gdb (GDB)安装

1. 将ext_gdb/sync.py复制到你选择的目录;

2. 加载扩展(参见自动加载脚本的过程)。

LLDB安装

LLDB支持是实验性的,但载荷扩展也可以添加到~/.lldbinit中。

OllyDbg 1.10安装

OllyDbg 1.10支持是实验性的,但是:

1. 使用VS解决方案构建插件(可选,参见预构建的二进制文件);

2. 将dll复制到OllyDbg的插件目录中;

OllyDbg2安装

OllyDbg2支持是实验性的,但是:

1.使用VS解决方案构建插件(可选,参见预构建的二进制文件);

2.将dll复制到OllyDbg2的插件目录中

x64dbg安装

基于 testplugin ,x64dbg支持是实验性的,但是:

1.使用VS解决方案构建插件(可选,参见预构建的二进制文件),也许你需要一个不同版本的插件sdk,副本可以在每个版本的x64dbg中找到。将“pluginsdk”目录粘贴到“ext_x64dbgx64dbg_sync”中;

2.在x64dbg的插件目录中复制dll(扩展名为.d32或.dp64)。

用法

ret-sync调试器命令

对于面向命令行的调试器(主要是Windbg和GDB),通过ret-sync公开一组命令,以帮助执行逆向工程任务。

下面的命令是通用的(Windbg和GDB),请注意WinDbg中的前缀“!”(例如:GDB中的sync, WinDbg中的!sync)。

WinDbg具体的命令如下:

GDB命令如下:

IDA的使用

IDA插件的GUI

“覆盖IDB名称”输入字段用于更改默认IDB名称,它是插件用来向调度程序注册的名称。 IDB自动切换基于模块名称匹配。如果名称冲突(例如foo.exe和foo.dll),则可用于简化匹配。请注意,如果你在同步处于活动状态时修改输入字段,则必须重新向调度程序注册;只需使用“重新启动”按钮即可完成。

提醒一下,在默认情况下,可以使用.sync配置文件来别名化。

Ghidra的用法

Ghidra插件的GUI

一旦RetSyncPlugin打开,你可以通过简单的拖拽将它添加到CodeBrowser窗口:

如果你想查看几个模块,文件需要在同一个CodeBrowser查看器中打开,只需在CodeBrowser窗口中拖放额外的模块即可获得如上所示的结果。

WinDbg用法

WinDbg插件命令

!sync::开始同步;

!syncoff:停止同步;

!synchelp:显示可用命令的列表,并附有简短说明;

!cmt [-a address]:在IDA中的当前IP处添加注释;

!rcmt [-a address]: 在IDA中的当前IP处重置注释;

!fcmt [-a address] : 为当前IP所在的函数添加函数注释;

注意:不带参数的调用此命令将重置函数的注释。

!raddr :添加一个注释,其中包含从表达式求值的重新定位的地址;

!rln :从反汇编器获取给定地址的符号;

!lbl [-a address] :在反汇编程序中的当前ip处添加标签名称;

!cmd :在WinDbg中执行命令,并将其输出作为注释添加到反汇编程序中的当前ip处;

!bc   <   ||on|off|set 0xBBGGRR   >   :启用/禁用反汇编程序中的路径着色,这不是代码跟踪工具,但是有一些有效的工具。每个手动步进的指令在图中都带有颜色。如果不带参数调用,则在当前ip上为单个指令着色。 “set”参数用于使用新的十六进制rgb代码设置路径颜色(如果使用值   >   0xFFFFFF调用,则重置颜色)。

!idblist:获取连接到调度程序的所有IDB客户端的列表:

!syncmodauto   <   on|off   >  : 基于模块名称启用/禁用反汇编程序自动切换:

!idbn:将活动IDB设置为第n个客户端, n应该是有效的十进制值。

在本例中,当前活动的IDB客户端将被设置为:

!jmpto:在当前调试器状态的上下文中评估作为参数给出的表达式。如果注册了匹配的模块,则反汇编程序的视图将与结果地址同步。可以看作是手动同步,是即时动态执行重定位。对于随机重定位的二进制文件特别有用。

!jmpraw:在当前调试器状态的上下文中评估作为参数给出的表达式。如果启用了IDB,则反汇编程序的视图将与结果地址同步。地址不重定基础,并且没有IDB切换。对于动态分配/生成的代码特别有用。

!modmap:将合成(“伪造”)模块(使用其基地址和大小定义)添加到调试器内部列表。来自msdn:“如果重新加载了所有模块,例如,通过将Module参数设置为空字符串调用Reload,则所有合成模块都将被丢弃。”它可用于更轻松地调试动态分配/生成的代码。

!modunmap:删除基地址上先前映射的合成模块。

!modcheck   <   ||md5   >  :用于检查当前模块是否确实与IDB的文件匹配(例如:模块已更新)当不带参数调用时,将使用Debug Directory中的pdb的GUID。它可以替代地使用md5,但只能与本地调试对象一起使用(不适用于远程内核调试)。

!bpcmds   <   ||save|load|   >  :bpcmds封装器,保存并重新加载输出到当前IDB的.bpcmds(断点命令列表)。如果不带参数调用,则显示保存的数据。使用IDA的netnode功能可以实现持久存储。

!ks: 调试器标记语言(DML)增强了kv命令的输出。可以单击代码地址(!jmpto),也可以单击数据地址(dc)。

!translate : 从IDA(Alt-F2快捷方式)开始使用的含义,根据模块的名称和偏移量重新确定地址的基础。

地址可选参数

!cmt,!rcmt和!fcmt命令支持可选的地址选项:-a或–address。地址应作为十六进制值传递。命令解析基于python的argparse模块。要停止行解析,请使用–。

地址必须是有效的指令地址。

使用GNU gdb (GDB)

与主机同步:

GDB插件命令

使用没有“!”前缀的命令:

rln:从IDB获取给定地址的符号;

bbt: 美丽的回溯,类似于bt,但要求反汇编程序提供符号;

patch:根据实时上下文在反汇编程序中修补字节;

bx:漂亮的显示,与x相似,但使用符号,该符号将由反汇编程序解析。

cc: 继续在反汇编程序中,这是使用F3设置一次性断点和使用F5继续设置的替代方法。如果你更喜欢从gdb执行此操作,则这很有用。

LLDB的用法

1. 与主机同步:

2. 使用命令:

OllyDbg 1.10的用法

使用“插件”菜单或快捷方式来启用(Alt+s)/禁用(Alt+u)同步。

OllyDbg2的用法

使用“插件”菜单或快捷方式来启用(Ctrl+s)/禁用(Ctrl+u)同步,由于OllyDbg2 API处于测试版状态,因此仅实现了某些功能

x64dbg的用法

使用命令来启用(“!sync”)或禁用(“!syncoff”)同步。

已知漏洞和功能限制

1.使用Python 2.7/3.7、IDA 7.4 (Windows、Linux和Mac OS X)、Ghidra 9.1、GNU gdb (gdb)、7.4.1 (Debian)、lldb 310.2.37进行测试。

2. 双方之间没有任何认证/加密;

3. 自修改代码超出范围。

微信扫一扫,分享到朋友圈

ret-sync:用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件

行业协会NATE警告称:本周末美国各地的5G基站可能遭到破坏

上一篇

“超大杯”华为 P40 Pro+ 明天上市:搭载徕卡五摄,7988元起

下一篇

你也可能喜欢

ret-sync:用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件

长按储存图像,分享给朋友