ret sync

Ret-Sync يرمز إلى تزامن أدوات الهندسة العكسية. إنها مجموعة من الإضافات التي تساعد على مزامنة جلسة تصحيح الأخطاء (WindBG/GDB/LLDB/OLLYDBG/OLLYDBG2/X64DBG) مع تفكيك (IDA/GHIDRA/BINARY NINJA). الفكرة الأساسية بسيطة: خذ الأفضل من كلا العالمين (تحليل ثابت وديناميكي).

يوفر لنا التصريف والتحليل الديناميكي:

• عرض محلي ، مع سياق ديناميكي مباشر (السجلات ، الذاكرة ، إلخ )
• ميزات متخصصة مدمجة/API (على سبيل المثال: Windbg's !peb ، !drvobj !address !

يوفر لنا Disassemblers والتحليل الثابت:

• عرض الماكرو على الوحدات النمطية
• تحليل الكود ، التواقيع ، الأنواع ، إلخ.
• عرض الرسم البياني الهوى
• فك
• التخزين المستمر للمعرفة داخل IDBS/GPRS

الميزات الرئيسية:

• مزامنة الرسم البياني وإزالة المشاهدات مع حالة الأخطاء
• لا حاجة للتعامل مع ASLR ، يتم إعادة صياغة العناوين أثناء الطيران
• تمرير البيانات (التعليق ، إخراج الأوامر) من Debugger إلى Disassembler
• يمكن مزامنة عدة IDBs/GPRs في نفس الوقت مما يتيح تتبع بسهولة من خلال وحدات متعددة
• يمكن أن يكون Disassembler و Depugger على مضيفات / VMs مختلفة

Ret-Sync هو شوكة من QB-Sync التي طورتها وصيانتها أثناء إقامتي في arcerslab.

• محتوى المستودع
• المتطلبات العامة
• إطلاق ثنائي
• تكوين المزامنة المتقاعدين
• تثبيت
  • امتداد IDA
  • امتداد Ghidra
  • تمديد النينجا الثنائي
  • امتداد Windbg
  • تثبيت GNU GDB (GDB)
  • تثبيت LLDB
  • Ollydbg 1.10 التثبيت
  • تثبيت OLLYDBG2
  • تثبيت X64DBG
• الاستخدام
  • أوامر DET-SYNC
  • استخدام IDA
  • استخدام غيدرا
  • استخدام النينجا الثنائي
  • استخدام Windbg
  • استخدام GNU GDB (GDB)
  • استخدام LLDB
  • ollydbg 1.10 الاستخدام
  • استخدام ollydbg2
  • استخدام X64DBG
  • استخدام مكتبة بيثون
• يمتد
• تودو
• الأخطاء/القيود المعروفة
• رخصة
• هجيت

ملحقات التصحيح:

• ext_windbg/sync : ملفات مصدر امتداد Windbg ، بمجرد تصميمها: sync.dll
• ext_gdb/sync.py : البرنامج المساعد GDB
• ext_lldb/sync.py : البرنامج المساعد LLDB
• ext_olly1 : البرنامج المساعد Ollydbg 1.10
• ext_olly2 : البرنامج المساعد Ollydbg V2
• ext_x64dbg : البرنامج المساعد x64dbg

المكونات الإضافية disassembler:

• ext_ida/SyncPlugin.py
• ext_ghidra/dist/ghidra_*_retsync.zip : Plugin Ghidra
• ext_bn/retsync : المكون الإضافي binary ninja

ومكون المكتبة:

• ext_lib/sync.py : مكتبة الثعبان المستقلة

تتطلب المكونات الإضافية IDA و GDB إعداد Python صالح. يتم دعم Python 2 (> = 2.7) و Python 3.

ثنائيات مسبقة تم إنشاؤها ل Windbg/ollydbg/ollydbg2/x64dbg يقترحون من خلال خط أنابيب Azure DevOps :

حدد آخر بناء وتحقق من القطع الأثرية ضمن القسم Related : 6 published .

يتم توفير أرشيف إضافي مسبقًا من البرنامج المساعد Ghidra في ext_ghidra/dist .

يجب أن يعمل Ret-Sync خارج المربع لمعظم المستخدمين مع إعداد نموذجي: Debugger و Disassembler (s) على نفس المضيف ، مطابقة أسماء الوحدات.

ومع ذلك ، في بعض السيناريوهات يمكن استخدام تكوين معين. لذلك ، تحقق الإضافات والإضافات عن ملف تكوين عالمي اختياري يسمى .sync في الدليل الرئيسي للمستخدم. يجب أن يكون ملف .INI صالح.

بالإضافة إلى ذلك ، تبحث المكونات الإضافية لـ IDA و Ghidra أيضًا عن ملف التكوين في دليل IDB أو Project ( <project>.rep ) أولاً للسماح للإنشاءات المحلية ، لكل مشروع/مشروع. في حالة وجود ملف تكوين محلي ، يتم تجاهل ملف التكوين العالمي.

القيم المعلنة في ملفات التكوين هذه تتجاوز القيم الافتراضية. يرجى ملاحظة أنه لا يتم إنشاء ملف .sync افتراضيًا.

أدناه نقوم بالتفصيل ، ثلاثة سيناريوهات شائعة حيث يكون ملف التكوين مفيدًا/مطلوبًا:

• تصحيح الأخطاء عن بُعد
• وحدات أسماء عدم التوافق
• مفقود

يتم استخدام قسم [INTERFACE] لتخصيص الإعدادات المتعلقة بالشبكة. دعنا نفترض أن المرء يريد مزامنة IDA مع تصحيح الأخطاء التي تعمل داخل جهاز افتراضي (أو مجرد مضيف آخر) ، سيناريو تصحيح الأخطاء في kernel الشائع.

ببساطة إنشاء اثنين من ملف .sync :

• واحد على الجهاز الذي يتم تثبيت IDA ، في دليل IDB:
• ل Ghidra ، مكان في المنزل ، على سبيل المثال. "/home/user" أو "c: user user".

 [INTERFACE]
host=192.168.128.1
port=9234

يخبر المكوّن الإضافي Ret-Sync IDA بالاستماع إلى الواجهة 192.168.128.1 مع المنفذ 9234 . وغني عن القول أن هذه الواجهة يجب الوصول إليها من المضيف البعيد أو الجهاز الظاهري.

• واحد على الجهاز الذي يتم فيه تنفيذ مصحح الأخطاء ، في الدليل الرئيسي للمستخدم:

 [INTERFACE]
host=192.168.128.1
port=9234

يخبر المكوّن الإضافي لـ Ret-Sync Debugger بالاتصال بمكون IDA Ret-Sync الذي تم تكوينه مسبقًا للاستماع في هذه الواجهة.

ملاحظة: يجب تحديد عنوان IP حقيقي هنا ، وعدم استخدام 0.0.0.0 . وذلك لأن المتغير يستخدمه مصادر متعددة لكل من الربط والتوصيل ، لذلك فإن استخدام 0.0.0.0 سيؤدي إلى أخطاء غريبة.

 [ALIASES]
ntoskrnl_vuln.exe=ntkrnlmp.exe

يتم استخدام قسم [ALIASES] لتخصيص الاسم الذي يستخدمه disassembler (IDA/Ghidra) لتسجيل وحدة نمطية على مرسلها/مدير البرنامج.

بشكل افتراضي ، استخدم المكونات الإضافية disassembler اسم ملف الإدخال. ومع ذلك ، قد يكون لدى المرء اسم الملف مسبقًا ولم يعد يتطابق مع اسم العملية الفعلية أو الوحدة النمطية المحملة كما هو موضح من قبل مصحح الأخطاء.

هنا نقول ببساطة إلى المرسل لتطابق اسم ntkrnlmp.exe (الاسم الحقيقي) بدلاً من ntoskrnl_vuln.exe (اسم IDB).

يغير الواجهة الأمامية لخليط QT Creator الطريقة التي يتم بها تسجيل إخراج أمر GDB. نظرًا لأن هذا سيتداخل مع التزامن ، يوجد خيار لاستخدام إخراج GDB الخام للمزامنة بدلاً من ملف مؤقت. في استخدام ملف تكوين .sync

 [GENERAL]
use_tmp_logging_file=false

إذا كنت ترغب في استخدام واجهة تصحيح أخطاء QT للهدف.

في بعض السيناريوهات ، مثل تصحيح الأخطاء المدمجة على البرامج الثابتة التسلسلية أو الخام في QEMU ، فإن GDB غير مدرك لـ PID ولا يمكنه الوصول إلى /proc/<pid>/maps .

في هذه الحالات ، يتم استخدام القسم [INIT] لتمرير سياق مخصص إلى المكون الإضافي. يسمح بالتغلب على بعض الحقول مثل التعيينات PID وذاكرة.

.sync مستخلص محتوى:

 [INIT]
context = {
      "pid": 200,
      "mappings": [ [0x400000, 0x7A81158, 0x7681158, "asav941-200.qcow2|lina"] ]
  }

كل إدخال في التعيينات هو: mem_base ، mem_end ، mem_size ، mem_name .

في بعض السيناريوهات ، مثل تصحيح الأجهزة المدمجة أو الاتصال بواجهات التصحيح البسيط ، قد يكون من الملائم تجاوز ميزة إعادة صياغة العنوان التلقائي المنفذة في المكونات الإضافية disassembler.

يتم دعم خيار use_raw_addr حاليًا فقط ل Ghidra. في ملف تكوين .sync استخدام:

 [GENERAL]
use_raw_addr=true

مطلوب فرع IDA 7.x. للإصدارات القديمة (6.9x) ، يرجى الاطلاع على الإصدار المؤرشفة ida6.9x .

لتثبيت IDA ، نسخ المجلد Syncplugin.py و retsync من دليل ext_ida إلى IDA الإضافات ، على سبيل المثال:

• C:Program FilesIDA Pro 7.4plugins
• %APPDATA%Hex-RaysIDA Proplugins
• ~/.idapro/plugins

1. افتح IDB
2. قم بتشغيل المكون الإضافي في IDA ( Alt-Shift-S ) أو Edit > Plugins > ret-sync

 [sync] default idb name: ld.exe
[sync] sync enabled
[sync] cmdline: "C:Program FilesPython38python.exe" -u "C:UsersuserAppDataRoamingHex-RaysIDA Propluginsretsyncbroker.py" --idb "target.exe"
[sync] module base 0x100400000
[sync] hexrays #7.3.0.190614 found
[sync] broker started
[sync] plugin loaded
[sync] << broker << dispatcher not found, trying to run it
[sync] << broker << dispatcher now runs with pid: 6544
[sync] << broker << connected to dispatcher
[sync] << broker << listening on port 63107

لاستكشاف الأخطاء وإصلاحها المشكلات مع امتداد IDA يتوفر خياران في الملف retsync/rsconfig.py :

 LOG_LEVEL = logging.INFO
LOG_TO_FILE_ENABLE = False

ضبط قيمة LOG_LEVEL إلى logging.DEBUG يجعل Debug المكون الإضافي أكثر مطوّلة.

يؤدي تعيين LOG_TO_FILE_ENABLE إلى True إلى تسجيل تسجيل معلومات الاستثناء من broker.py و dispatcher.py إلى ملفات مخصصة. يتم إنشاء ملف السجل في المجلد %TMP% مع نمط اسم retsync.%s.err .

إما استخدام الإصدار المُصمم مسبقًا من مجلد ext_ghidra/dist أو اتبع التعليمات لإنشائها. يدعم كل بناء ملحق فقط إصدار Ghidra المحدد في اسم ملف البرنامج المساعد. eg ghidra_9.1_PUBLIC_20191104_retsync.zip ل Ghidra 9.1 للجمهور.

1. تثبيت Ghidra
2. تثبيت Gradle

apt install gradle

3. بناء تمديد لتثبيت Ghidra الخاص بك (استبدل $GHIDRA_DIR مع دليل التثبيت الخاص بك)

 cd ext_ghidra
gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR

1. من Ghidra Projects Manager: File -> Install Extensions... ، انقر فوق علامة + وحدد ext_ghidra/dist/ghidra_*_retsync.zip وانقر فوق "موافق". سيؤدي ذلك إلى استخراج مجلد retsync بشكل فعال من الرمز البريدي إلى $GHIDRA_DIR/Extensions/Ghidra/
2. أعد تشغيل Ghidra حسب الطلب
3. بعد إعادة تحميل Ghidra ، افتح وحدة نمطية في Codebrowser. يجب أن يخبرك أنه تم اكتشاف مكون إضافي تمديد جديد. حدد "نعم" لتكوينه. ثم علامة "Retsyncplugin" وانقر فوق "موافق". يجب أن تظهر وحدة التحكم شيئًا مثل:

 [*] retsync init
[>] programOpened: tm.sys
    imageBase: 0x1c0000000

4. من Ghidra CodeBrowser Tool: استخدم أيقونات شريط الأدوات أو اختصارات لتمكين ( Alt+s )/تعطيل ( Alt+Shift+s )/إعادة تشغيل ( Alt+r ).

تتوفر نافذة الحالة أيضًا من Windows -> RetSyncPlugin . تريد عمومًا إسقاطه على الجانب لدمجه مع نوافذ بيئة غيدرا.

دعم النينجا الثنائي هو تجريبي ، تأكد من النسخ الاحتياطي لقواعد بيانات التحليل الخاصة بك.

يتطلب Ret-Sync إصدار Ninja الثنائي 2.2 على الأقل وكذلك Python 3 (Python 2 غير مدعوم).

لم يتم توزيع Ret-Sync بعد من خلال مدير البرنامج المساعد Binary Ninja ؛ مطلوب التثبيت اليدوي. ما عليك سوى نسخ محتوى مجلد ext_bn إلى مجلد المكونات الإضافية لـ Binary Ninja ، على سبيل المثال:

%APPDATA%Binary Ninjaplugins

بعد إعادة تشغيل النينجا الثنائية ، يجب أن يكون الإخراج التالي موجودًا في نافذة وحدة التحكم:

 [sync] commands added
Loaded python3 plugin 'retsync'

إما استخدام الثنائيات التي تم إنشاؤها مسبقًا أو استخدم حل Visual Studio 2017 المقدم في ext_windbg ، (انظر https://docs.microsoft.com/en-us/visualstudio/releasenotes/VS2017-Relnotes إذا لزم الأمر).

سيؤدي ذلك إلى إنشاء ملف x64releasesync.dll .

ستحتاج إلى نسخ ملف sync.dll الناتج إلى مسار امتداد WindBG المناسب.

• Windbg Classic:

بالنسبة للإصدارات السابقة من Windbg ، هذا شيء من هذا القبيل (كن حذرًا من نكهات x86 / x64 ) ، على سبيل المثال

C:Program Files (x86)Windows Kits10Debuggersx64winextsync.dll

• معاينة Windbg

يبدو أن المجلد لتخزين التمديد يعتمد على المسار ، لذلك تحتاج إلى وضعه أحد المواقع التي تم الاستعلام عنها.

مثال واحد هو وضعه هنا:

C:UsersuserAppDataLocalMicrosoftWindowsAppssync.dll

1. إطلاق Windbg على الهدف
2. تمديد تحميل ( .load تحميل)

    0:000> .load sync
    [sync.dll] DebugExtensionInitialize, ExtensionApis loaded

3. مزامنة Windbg

      0:000> !sync
      [sync] No argument found, using default host (127.0.0.1:9100)
      [sync] sync success, sock 0x5a8
      [sync] probing sync
      [sync] sync is now enabled with host 127.0.0.1

على سبيل المثال في نافذة إخراج IDA

      [*] << broker << dispatcher msg: add new client (listening on port 63898), nb client(s): 1
      [*] << broker << dispatcher msg: new debugger client: dbg connect - HostMachineHostUser
      [sync] set debugger dialect to windbg, enabling hotkeys

إذا تطابق الوحدة النمطية الحالية لـ Windbg اسم ملف IDA

      [sync] idb is enabled with the idb client matching the module name.

ملاحظة: إذا حصلت على الخطأ التالي ، فذلك لأنك لم تقم بنسخ الملف إلى المجلد الصحيح في الخطوات المذكورة أعلاه.

 0: kd> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n2
    "The system cannot find the file specified."
Please check your debugger configuration and/or network access.

يعني الخطأ أدناه عادة أن Windbg حاول تحميل النكهة غير الصحيحة للتمديد ، على سبيل المثال: x64 بدلاً من x86 sync.dll .

 0:000> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n193
    "%1 is not a valid Win32 application."
Please check your debugger configuration and/or network access.

نظرًا لأن معاينة WindBG تعمل على تحميل كل من الإضافات ( x86 و x64 ) من نفس الدليل ، يمكن للمرء إعادة تسمية ملف x86 sync32.dll .

 0:000> .load sync32

1. انسخ ext_gdb/sync.py إلى الدليل الذي تختاره
2. قم بتحميل الامتداد (انظر وصفات التحميل التلقائي)

    gdb> source sync.py
    [sync] configuration file loaded 192.168.52.1:9100
    [sync] commands added

دعم LLDB تجريبي ، ولكن:

1. تمديد التحميل (يمكن أيضًا إضافة في ~/.lldbinit )

    lldb> command script import sync

ollydbg 1.10 دعم تجريبي ، ولكن:

1. قم ببناء المكون الإضافي باستخدام حل VS (اختياري ، انظر الثنائيات التي تم بناؤها مسبقًا)
2. انسخ DLL داخل دليل البرنامج المساعد Ollydbg

دعم Ollydbg2 هو تجريبي ، ولكن:

1. قم ببناء المكون الإضافي باستخدام حل VS (اختياري ، انظر الثنائيات التي تم بناؤها مسبقًا)
2. انسخ DLL داخل دليل البرنامج المساعد Ollydbg2

بناءً على TestPlugin ، https://github.com/x64dbg/testplugin. دعم X64DBG تجريبي ، ولكن:

1. قم بإنشاء المكون الإضافي باستخدام حل VS (اختياري ، انظر الثنائيات التي تم بناؤها مسبقًا). قد تحتاج إلى إصدار مختلف من المكون الإضافي SDK ، يمكن العثور على نسخة في كل إصدار من X64DBG. الصق دليل " pluginsdk " في " ext_x64dbgx64dbg_sync "
2. انسخ DLL (الامتداد هو .d32 أو .dp64 ) ضمن دليل البرنامج المساعد X64DBG.

بالنسبة لتصحيحات خط الأوامر الموجهة نحو خط الأوامر (وخاصة WindBG و GDB) ، يتم تعريض مجموعة من الأوامر من قبل Ret-Sync للمساعدة في مهمة الهندسة العكسية.

الأوامر أدناه عام (Windbg و GDB) ، يرجى ملاحظة أن A ! هناك حاجة إلى البادئة على Windbg (على سبيل المثال: sync في GDB ، !sync في Windbg).

أوامر محددة Windbg:

أوامر محددة GDB:

يهدف حقل إدخال Overwrite idb name تغيير اسم IDB الافتراضي. إنه الاسم الذي يستخدمه البرنامج المساعد للتسجيل لدى المرسل. يعتمد التبديل التلقائي IDB على مطابقة اسم الوحدة النمطية. في حالة الأسماء المتضاربة (مثل foo.exe و foo.dll ) ، يمكن استخدام هذا لتخفيف المطابقة. يرجى ملاحظة ، إذا قمت بتعديل حقل الإدخال أثناء نشطة المزامنة ، فيجب عليك إعادة التسجيل باستخدام المرسل ؛ يمكن القيام بذلك ببساطة باستخدام زر " Restart ".

كتذكير ، من الممكن الاسم المستعار افتراضيًا باستخدام ملف تكوين .sync .

يحدد Ret-Sync هذه الاختصارات العالمية في IDA:

• Alt-Shift-S -und -sync plugin
• Ctrl-Shift-S -Toggle Global Syncing
• Ctrl-H تبديل مزامنة الأشعة السداسية

يتوفر زران أيضًا في شريط أدوات التصحيح لتبديل مزامنة الأشعة العالمية و Hex.

Syncplugin.py يسجل أيضا debugger command compper hotkeys.

• F2 - تعيين نقطة التوقف على عنوان المؤشر
• F3 - قم بتعيين نقطة توقف واحدة على عنوان المؤشر
• Ctrl-F2 - تعيين نقطة توقف الأجهزة على عنوان المؤشر
• Ctrl-F3 اضبط نقطة توقف الأجهزة ذات الطلقة الواحدة على عنوان المؤشر
• Alt-F2 - ترجمة (Rebase في Debugger) عنوان المؤشر الحالي
• Alt-F5 - اذهب
• Ctrl-Alt-F5 -Run (GDB فقط)
• F10 - خطوة واحدة
• F11 - تتبع واحد

هذه الأوامر متاحة فقط عندما يكون IDB الحالي نشطًا. عند الإمكان ، تم تنفيذها أيضًا للآخرين.

بمجرد فتح Retsyncplugin ، يمكنك إضافته إلى نافذة Codebrowser بواسطة Drag'n'Drop البسيط:

إذا كنت ترغب في عرض عدة وحدات ، فيجب أن تكون الملفات مفتوحة في نفس عارض Codebrowser ، ما عليك سوى سحب الحالات الإضافية في نافذة Codebrowser للحصول على النتيجة على النحو الوارد أعلاه.

يحدد Ret-Sync هذه الاختصارات العالمية في Ghidra:

• Alt-S - تمكين المزامنة
• Alt-Shift-S تعطيل المزامنة
• Alt-R - إعادة التشغيل المزامنة
• تكوين Alt-Shift-R إعادة تحميل

يتم أيضًا تنفيذ الروابط عبر أوامر التصحيح. أنها تشبه تلك الموجودة في امتداد IDA (باستثناء أمر "GO").

• F2 - تعيين نقطة التوقف على عنوان المؤشر
• Ctrl-F2 - تعيين نقطة توقف الأجهزة على عنوان المؤشر
• Alt-F3 اضبط نقطة توقف واحدة على عنوان المؤشر
• Ctrl-F3 اضبط نقطة توقف الأجهزة ذات الطلقة الواحدة على عنوان المؤشر
• Alt-F2 - ترجمة (Rebase في Debugger) عنوان المؤشر الحالي
• F5 - اذهب
• Alt-F5 - RUN (GDB فقط)
• F10 - خطوة واحدة
• F11 - تتبع واحد

يحدد Ret-Sync هذه الاختصارات العالمية في النينجا الثنائية:

• Alt-S - تمكين المزامنة
• Alt-Shift-S تعطيل المزامنة

يتم أيضًا تنفيذ الروابط عبر أوامر التصحيح. فهي تشبه تلك الموجودة في امتداد IDA.

• F2 - تعيين نقطة التوقف على عنوان المؤشر
• Ctrl-F2 - تعيين نقطة توقف الأجهزة على عنوان المؤشر
• Alt-F3 اضبط نقطة توقف واحدة على عنوان المؤشر
• Ctrl-F3 اضبط نقطة توقف الأجهزة ذات الطلقة الواحدة على عنوان المؤشر
• Alt-F2 - ترجمة (Rebase في Debugger) عنوان المؤشر الحالي
• Alt-F5 - اذهب
• F10 - خطوة واحدة
• F11 - تتبع واحد

• المزامنة : ابدأ التزامن
• ! Syncoff : توقف عن التزامن
• Synchelp : عرض قائمة الأوامر المتاحة مع شرح قصير.
• !

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57    push    edi

    0:000:x86> dd esp 8
    0028ed94  00000000 00433845 0028eebc 00000032
    0028eda4  0028f88c 00000064 002b049e 00000110

    0:000:x86> !cmt 0028ed94  00000000 00433845 0028eebc 00000032
    [sync.dll]  !cmt called

    [IDA]
    .text:00430DB1    push    edi             ; 0028ed94  00000000 00433845 0028eebc 00000032

• ! rcmt [-a العنوان] : إعادة تعيين التعليق في IP الحالي في IDA

    [WinDbg]
    0:000:x86> !rcmt
    [sync] !rcmt called

    [IDA]
    .text:00430DB1    push    edi

• !

    [WinDbg]
    0:000:x86> !fcmt decodes buffer with key
    [sync] !fcmt called

    [IDA]
    .text:004012E0 ; decodes buffer with key
    .text:004012E0                 public decrypt_func
    .text:004012E0 decrypt_func    proc near
    .text:004012E0                 push    ebp

ملاحظة: استدعاء هذا الأمر بدون وسيطة إعادة تعيين تعليق الوظيفة.

• ! Raddr : أضف تعليقًا بعنوان Rebusted تم تقييمه من التعبير
• ! RLN : احصل على رمز من Disassembler للعنوان المحدد
• ! lbl [-a address] : أضف اسم تسمية في IP الحالي في disassembler

    [WinDbg]
    0:000:x86> !lbl meaningful_label
    [sync] !lbl called

    [IDA]
    .text:000000000040271E meaningful_label:
    .text:000000000040271E    mov     rdx, rsp

• !

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57     push    edi
    [sync.dll]  !cmd r edi

    [IDA]
    .text:00430DB1    push    edi             ; edi=00000064

• ! bc <|| on | Off | set 0xbbggrr> : تمكين/تعطيل تلوين المسار في disassembler. هذه ليست أداة تتبع رمز ، وهناك أدوات فعالة لذلك. يتم تلوين كل تعليمات متداعية يدويًا في الرسم البياني. قم بتلوين تعليمات واحدة في IP الحالي إذا تم استدعاؤها بدون وسيطة. يتم استخدام الوسيطة "SET" لتعيين لون المسار باستخدام رمز RGB جديد (إعادة تعيين اللون إذا تم استدعاؤه بقيمة> 0xffffff).
• Idblist : احصل على قائمة بجميع عملاء IDB متصلين بالمرسل:

    [WinDbg]
    0:000> !idblist
    > currently connected idb(s):
        [0] target.exe

• ! syncmodauto <on | Off> : تمكين/تعطيل مفتاح Disassembler Auto استنادًا إلى اسم الوحدة:

    [WinDbg]
    0:000> !syncmodauto off

    [IDA]
    [*] << broker << dispatcher msg: sync mode auto set to off

• ! IDBN : اضبط IDB النشط على العميل NTH. يجب أن تكون n قيمة عشرية صالحة. هذا وضع شبه آلي (تحية شخصية لـ JJ الهائلة)

    [WinDbg]
    0:000:> !idbn 0
    > current idb set to 0

في هذا المثال ، كان من الممكن تعيين عميل IDB النشط الحالي على:

	[0] target.exe.

• ! JMPTO : يتم تقييم التعبير المعطى كوسيطة في سياق حالة الأخطاء الحالية. ثم تتم مزامنة عرض Disassembler مع العنوان الناتج إذا تم تسجيل وحدة مطابقة. يمكن اعتباره بمثابة مزامنة يدوي ، يتم تنفيذ الترحيل تلقائيًا ، أثناء الطيران. مفيد بشكل خاص للانتقال عشوائيا.
• ! إذا تم تمكين IDB ، فسيتم مزامنة عرض Disassembler مع العنوان الناتج. لا يتم إعادة تربية العنوان ولا يوجد تبديل IDB. مفيد بشكل خاص للرمز المخصص/المنشأة ديناميكيا.
• ! modmap : تتم إضافة وحدة اصطناعية ("مزيفة") (محددة باستخدام عنوانها الأساسي وحجمها) إلى القائمة الداخلية لصحبة الأخطاء. من MSDN: "إذا تم إعادة تحميل جميع الوحدات النمطية - على سبيل المثال ، عن طريق الاتصال بإعادة التحميل باستخدام معلمة الوحدة النمطية التي يتم تعيينها على سلسلة فارغة - سيتم التخلص من جميع الوحدات الاصطناعية." يمكن استخدامه لتصحيح رمز/تم إنشاؤه بشكل ديناميكي بسهولة أكبر.
• ! modunmap : قم بإزالة وحدة اصطناعية تم تعيينها مسبقًا في العنوان الأساسي.
• ! modcheck <|| md5> : استخدم للتحقق مما إذا كانت الوحدة الحالية تتطابق حقًا مع ملف IDB (على سبيل المثال: تم تحديث الوحدة النمطية) عند استدعاؤها بدون وسيطة ، يتم استخدام GUID's PDB من دليل التصحيح. يمكن بدلاً من ذلك استخدام MD5 ، ولكن فقط مع تصحيح الأخطاء المحلية (ليس في تصحيح الأخطاء في kernel عن بعد).
• !​​ عرض (ولكن لا ينفذ) البيانات المحفوظة إذا تم استدعاؤها بدون وسيطة. يتم تحقيق سعة التخزين المستمرة باستخدام ميزة NetNode الخاصة بـ IDA.
• ! KS : Depugger Markup Language (DML) محسّن إخراج أمر KV . عناوين الرمز قابلة للنقر ( ! JMPTO ) وكذلك عناوين البيانات ( DC ).
• ! ترجمة : من المفترض أن تستخدم من IDA (اختصار Alt-F2 ) ، Rebase عنوانًا فيما يتعلق باسم الوحدة النمطية وإزاحةه.

يدعم أوامر CMT ، ! RCMT و ! FCMT خيار عنوان اختياري: -a أو --address . يجب تمرير العنوان كقيمة سداسية عشرية. يعتمد تحليل الأوامر على وحدة argparse الخاصة بـ Python. لوقف استخدام خط التحليل -- .

    [WinDbg]
    0:000:x86> !cmt -a 0x430DB2 comment

يجب أن يكون العنوان عنوان تعليمي صالح.

المزامنة مع المضيف:

    gdb> sync
    [sync] sync is now enabled with host 192.168.52.1
    <not running>

    gdb> r
    Starting program: /bin/ls
    [Thread debugging using libthread_db enabled]
    Using host libthread_db library "/lib/libthread_db.so.1".

استخدم الأوامر ، بدون "!" بادئة

    (gdb) cmd x/i $pc
    [sync] command output: => 0x8049ca3:    push   edi

    (gdb) synchelp
    [sync] extension commands help:
     > sync <host>
     > syncoff
     > cmt [-a address] <string>
     > rcmt [-a address] <string>
     > fcmt [-a address] <string>
     > cmd <string>
     > bc <on|off|>
     > rln <address>
     > bbt <symbol>
     > patch <addr> <count> <size>
     > bx /i <symbol>
     > cc
     > translate <base> <addr> <mod>

• RLN : احصل على رمز من IDB للعنوان المحدد
• BBT : الخلفية الجميلة. على غرار BT ولكن يطلب رموز من disassembler

    (gdb) bt
    #0  0x0000000000a91a73 in ?? ()
    #1  0x0000000000a6d994 in ?? ()
    #2  0x0000000000a89125 in ?? ()
    #3  0x0000000000a8a574 in ?? ()
    #4  0x000000000044f83b in ?? ()
    #5  0x0000000000000000 in ?? ()
    (gdb) bbt
    #0 0x0000000000a91a73 in IKE_GetAssembledPkt ()
    #1 0x0000000000a6d994 in catcher ()
    #2 0x0000000000a89125 in IKEProcessMsg ()
    #3 0x0000000000a8a574 in IkeDaemon ()
    #4 0x000000000044f83b in sub_44F7D0 ()
    #5 0x0000000000000000 in  ()

• التصحيح : بايت التصحيح في disassembler بناءً على سياق مباشر
• BX : عرض جميل. على غرار X ولكن باستخدام رمز. سيتم حل الرمز عن طريق disassembler.
• CC : مواصلة المؤشر في disassembler. هذا بديل لاستخدام F3 لتعيين نقطة توقف واحدة و F5 للمتابعة. هذا مفيد إذا كنت تفضل القيام بذلك من GDB.

    (gdb) b* 0xA91A73
    Breakpoint 1 at 0xa91a73
    (gdb) c
    Continuing.

    Breakpoint 1, 0x0000000000a91a73 in ?? ()
    (gdb) cc
    [sync] current cursor: 0xa91a7f
    [sync] reached successfully
    (gdb)

1. مزامنة مع المضيف

    lldb> process launch -s
    lldb> sync
    [sync] connecting to localhost
    [sync] sync is now enabled with host localhost
    [sync] event handler started

2. استخدم الأوامر

    lldb> synchelp
    [sync] extension commands help:
     > sync <host>                   = synchronize with <host> or the default value
     > syncoff                       = stop synchronization
     > cmt <string>                  = add comment at current eip in IDA
     > rcmt <string>                 = reset comments at current eip in IDA
     > fcmt <string>                 = add a function comment for 'f = get_func(eip)' in IDA
     > cmd <string>                  = execute command <string> and add its output as comment at current eip in IDA
     > bc <on|off|>                  = enable/disable path coloring in IDA
                                       color a single instruction at current eip if called without argument
    lldb> cmt mooo

1. استخدم قائمة الإضافات أو الاختصارات لتمكين ( Alt+s )/تعطيل ( Alt+u ) التزامن.

1. استخدم قائمة الإضافات أو اختصارات لتمكين ( Ctrl+s )/تعطيل التزامن ( Ctrl+u ).

نظرًا لحالة بيتا لـ OLLYDBG2 API ، تم تنفيذ الميزات التالية فقط:

• مزامنة الرسم البياني [استخدم F7 ؛ F8 للتخطي]
• التعليق [استخدام CTRL+; ]
• التسمية [استخدم CTRL+: ]

1. استخدم قائمة الإضافات أو الأوامر تمكين (" !sync" ) أو تعطيل (" !syncoff ") التزامن.

2. استخدم الأوامر

 [sync] synchelp command!
[sync] extension commands help:
 > !sync                          = synchronize with <host from conf> or the default value
 > !syncoff                       = stop synchronization
 > !syncmodauto <on | off>        = enable / disable idb auto switch based on module name
 > !synchelp                      = display this help
 > !cmt <string>                  = add comment at current eip in IDA
 > !rcmt <string>                 = reset comments at current eip in IDA
 > !idblist                       = display list of all IDB clients connected to the dispatcher
 > !idb <module name>             = set given module as the active idb (see !idblist)
 > !idbn <n>                      = set active idb to the n_th client. n should be a valid decimal value
 > !translate <base> <addr> <mod> = rebase an address with respect to local module's base

ملاحظة: استخدام الأمر ! ترجمة من Disassembler (IDA/Ghidra ، Alt-F2 اختصار) ، سيجعل نافذة disassembler "القفز" إلى العنوان المحدد (ما يعادل تشغيل العارض في سطر أوامر X64DBG).

قد يرغب المرء في استخدام الميزات الأساسية لـ Ret-Sync (مزامنة الموضع مع disassembler ، دقة الرموز) على الرغم من أن بيئة تصحيح الأخطاء الكاملة غير متوفرة أو مع أداة مخصصة. تحقيقا لهذه الغاية ، تم استخراج مكتبة بيثون الحد الأدنى.

يوضح المثال أدناه استخدام مكتبة Python مع برنامج نصي يسير من خلال إخراج أداة التسجيل/التتبع القائمة على الحدث.

 from sync import *

HOST = '127.0.0.1'

MAPPINGS = [
    [ 0x555555400000 , 0x555555402000 ,  0x2000 , " /bin/tempfile" ],
    [ 0x7ffff7dd3000 , 0x7ffff7dfc000 , 0x29000 , " /lib/x86_64-linux-gnu/ld-2.27.so" ],
    [ 0x7ffff7ff7000 , 0x7ffff7ffb000 ,  0x4000 , " [vvar]" ],
    [ 0x7ffff7ffb000 , 0x7ffff7ffc000 ,  0x1000 , " [vdso]" ],
    [ 0x7ffffffde000 , 0x7ffffffff000 , 0x21000 , " [stack]" ],
]

EVENTS = [
    [ 0x0000555555400e74 , "malloc" ],
    [ 0x0000555555400eb3 , "open" ],
    [ 0x0000555555400ee8 , "exit" ]
]

synctool = Sync ( HOST , MAPPINGS )

for e in EVENTS :
    offset , name = e
    synctool . invoke ( offset )
    print ( "    0x%08x - %s" % ( offset , name ))
    print ( "[>] press enter for next event" )
    input ()

على الرغم من التركيز في البداية على التحليل الديناميكي (Defuggers) ، من الممكن تمديد مجموعة المكونات الإضافية والاندماج مع الأدوات الأخرى.

• التكامل مع منصة Reven Timeless Analysis من قبل Tetrane:
  • http://blog.tetrane.com/2015/02/reven-in-your-toolkit.html
  • https://twitter.com/tetrane/status/1374768014193799175
• التكامل مع EFI DXE Emulator بواسطة Assaf Carlsbad (ASSAF_CARLSBAD):
  • https://twitter.com/assaf_carlsbad/status/1242114356881641474
  • https://github.com/assafcarlsbad/efi_dxe_emulator

موارد (موارد) أخرى:

• " الجمع بين التحليل الثنائي الثابت والديناميكي-Ret-Sync " بقلم Jean-Christophe Delaunay
  • https://www.synacktiv.com/ressources/bieresecu1_ret-sync_en.pdf

• بالتأكيد.

• تم اختباره باستخدام Python 2.7/3.7 ، IDA 7.7 (Windows ، Linux و Mac OS X) ، Ghidra 10.1.1 ، Ninja Binary 3.0.3225-DEV ، GNU GDB (GDB) 8.1.0 (Debian) ، LLDB 310.2.37.
• لا توجد مصادقة/تشفير على الإطلاق بين الطرفين ؛ أنت وحدك.
• رمز تعديل الذات خارج النطاق.

مع GDB:

• يبدو أنه لا يتم استدعاء حدث STOP عند استخدام أمر "Return".
• تصحيح الأخطاء متعددة الخيوط لديها قضايا مع الإشارات.

مع Windbg:

• يتم إخطار المكون الإضافي للعميل من IDA على الرغم من أن نقطة الإيقاف التي تمت مواجهتها تستخدم سلسلة أوامر تجعلها تستمر (' g '). هذا يمكن أن يسبب تباطؤ كبير إذا كان هناك الكثير من هذه الأحداث. تم تنفيذ إصلاح محدود ، لا يزال الحل الأفضل هو المزامنة مؤقتًا.
• حالة السباق ممكن

مع Ghidra:

• الاختصارات لا تعمل كما هو متوقع في عنصر واجهة مستخدم Decompiler.

مع IDA:

• إعادة رسم نافذة الرسم البياني بطيئة للغاية بالنسبة للرسوم البيانية الكبيرة.
• اختصارات المزامنة Ret-Sync تتعارض في بيئات Linux.

الصراع (ق):

• من المعروف أن برنامج Logitech Updater يستخدم نفس المنفذ الافتراضي (9100). الحل هو استخدام ملف تكوين .sync عالمي لتحديد منفذ مختلف.

 [INTERFACE]
host=127.0.0.1
port=9234

Ret-Sync هو برنامج مجاني: يمكنك إعادة توزيعه و/أو تعديله بموجب شروط رخصة GNU العامة العامة كما تم نشرها من قبل مؤسسة البرمجيات المجانية ، إما الإصدار 3 من الترخيص ، أو (في خيارك) أي إصدار لاحق.

يتم توزيع هذا البرنامج على أمل أن يكون مفيدًا ، ولكن بدون أي ضمان ؛ بدون حتى الضمان الضمني للتسويق أو اللياقة لغرض معين. راجع رخصة GNU العامة لمزيد من التفاصيل.

يجب أن تكون قد تلقيت نسخة من رخصة GNU العامة العامة مع هذا البرنامج. إذا لم يكن الأمر كذلك ، راجع http://www.gnu.org/licenses/.

يتم إصدار المكون الإضافي Binary Ninja تحت رخصة MIT.

Hail to Bruce Dang و Stalkr و @Ivanlef0u و Damien Aumaître و Sébastien Renaud و Kévin Szkudlapski و @ M00dy و SaideLike و Xavier Mehrenberger و Ben64 و Raphaël Rigo و Jiss للحصول على لطفهم ومساعدة وأفكار. Ilfak Guilfanov و Igor Skochinsky و Arnaud Diederen لمساعدتهما في IDA الداخليين ودعمهم المتميز. شكرًا لك على Jordan Wiens و Vector 35. أخيرًا ، شكرًا لك أيضًا على جميع المساهمين وكل من أبلغ عن المشكلات/الأخطاء.