ret sync

RET-Sync signifie Synchronisation des outils d'ingénierie inverse. Il s'agit d'un ensemble de plugins qui aident à synchroniser une session de débogage (WindBG / GDB / LLDB / OLLYDBG / OLLYDBG2 / X64DBG) avec un démontbler (IDA / Ghidra / Binary Ninja). L'idée sous-jacente est simple: prendre le meilleur des deux mondes (analyse statique et dynamique).

Les débuggeurs et l'analyse dynamique nous fournissent:

• Vue locale, avec contexte dynamique en direct (registres, mémoire, etc. )
• Caractéristiques spécialisées / API intégrées (Ex: Windbg's !peb , !drvobj ,! !address , etc. )

Les démonts et l'analyse statique nous fournissent:

• Vue macro sur les modules
• Analyse du code, signatures, types, etc.
• Vue de graphique de fantaisie
• décompilation
• Stockage persistant des connaissances dans les IDB / GPRS

Caractéristiques clés:

• Synchroniser les vues du graphique et de la décompilation avec l'état du débogueur
• Pas besoin de gérer ASLR, les adresses sont remises à la volée
• Passer les données (commentaire, sortie de commande) du débogueur à Demoubler
• Plusieurs IDB / GPR peuvent être synchronisés en même temps permettant de tracer facilement à travers plusieurs modules
• Le désassembleur et le débogueur peuvent être sur différents hôtes / machines virtuelles

RET-Sync est une fourche de QB-Sync que j'ai développée et entretenue pendant mon séjour à Quarkslab.

• Contenu du référentiel
• Prérequis généraux
• Libération binaire
• Configuration de ret-sync
• Installation
  • Extension IDA
  • Extension Ghidra
  • Extension ninja binaire
  • Extension Windbg
  • Installation GNU GDB (GDB)
  • Installation LLDB
  • Installation OLLYDBG 1.10
  • Installation d'Ollydbg2
  • Installation x64dbg
• Usage
  • Commandes de débogueur ret-sync
  • Utilisation d'Ida
  • Utilisation du Ghidra
  • Utilisation du ninja binaire
  • Utilisation de Windbg
  • GNU GDB (GDB)
  • Utilisation du LLDB
  • OLLYDBG 1.10 Utilisation
  • Utilisation olydbg2
  • utilisation x64dbg
  • Utilisation de la bibliothèque Python
• Étendre
• FAIRE
• Bogues / limitations connues
• Licence
• Saluer

Les plugins débogueurs:

• ext_windbg/sync : fichiers source d'extension de Windbg, une fois construit: sync.dll
• ext_gdb/sync.py : plugin gdb
• ext_lldb/sync.py : plugin LLDB
• ext_olly1 : plugin OLLYDBG 1.10
• ext_olly2 : plugin ollydbg v2
• ext_x64dbg : plugin x64dbg

Les plugins de désassembleur:

• ext_ida/SyncPlugin.py
• ext_ghidra/dist/ghidra_*_retsync.zip : plugin ghidra
• ext_bn/retsync : Plugin ninja binaire

Et le plugin de la bibliothèque:

• ext_lib/sync.py : bibliothèque Python autonome

Les plugins IDA et GDB nécessitent une configuration Python valide. Python 2 (> = 2,7) et Python 3 sont pris en charge.

Des binaires prédéfinis pour Windbg / Ollydbg / Olydbg2 / x64DBG Les débuggeurs sont proposés via un pipeline Azure DevOps :

Sélectionnez la dernière construction et vérifiez les artefacts dans la section Related : 6 published .

Une archive de plugin prédéfinie du plugin Ghidra est fournie dans ext_ghidra/dist .

RET-Sync devrait fonctionner hors de la boîte pour la plupart des utilisateurs avec une configuration typique: débogueur et désassembleur sur le même hôte, noms de modules correspondant.

Pourtant, dans certains scénarios, une configuration spécifique peut être utilisée. Pour cela, les extensions et les plugins vérifient un fichier de configuration global en option nommé .sync dans le répertoire personnel de l'utilisateur. Ce doit être un fichier .INI valide.

De plus, les plugins IDA et GHIDRA recherchent également le fichier de configuration dans le répertoire IDB ou Project ( <project>.rep ) d'abord pour permettre les paramètres locaux, Per-IDB / Project. Si un fichier de configuration local est présent, le fichier de configuration global est ignoré.

Valeurs déclarées dans ces fichiers de configuration remplacer les valeurs par défaut. Veuillez noter qu'aucun fichier .sync est créé par défaut.

Ci-dessous, nous détaillons, trois scénarios communs où un fichier de configuration est utile / nécessaire:

• Débogage à distance
• Noms de modules Défection
• Pid manquant

La section [INTERFACE] est utilisée pour personnaliser les paramètres liés au réseau. Supposons que l'on souhaite synchroniser IDA avec un débogueur exécutant à l'intérieur d'une machine virtuelle (ou simplement un autre hôte), un scénario de débogage de noyau à distance commun.

Créez simplement deux fichiers .sync :

• Un sur la machine où IDA est installé, dans le répertoire IDB:
• Pour Ghidra, Place at Home Directory, Ex. "/ home / user" ou "c: users user".

 [INTERFACE]
host=192.168.128.1
port=9234

Il indique au plugin RET-Sync IDA d'écouter sur l'interface 192.168.128.1 avec le port 9234 . Il va sans dire que cette interface doit être accessible à partir de l'hôte distant ou de la machine virtuelle.

• Un sur la machine où le débogueur est exécuté, dans le répertoire domestique de l'utilisateur:

 [INTERFACE]
host=192.168.128.1
port=9234

Il indique au plugin de débogueur RET-Sync de se connecter au plugin RET-Sync IDA configuré précédemment pour écouter dans cette interface.

Remarque: vous devez spécifier une vraie IP ici et ne pas utiliser 0.0.0.0 . En effet, la variable est utilisée par plusieurs sources à la fois pour la liaison et la connexion, donc l'utilisation de 0.0.0.0 entraînera des erreurs étranges.

 [ALIASES]
ntoskrnl_vuln.exe=ntkrnlmp.exe

La section [ALIASES] est utilisée pour personnaliser le nom qui est utilisé par un désassembleur (IDA / Ghidra) pour enregistrer un module à son Dispatcher / Program Manager.

Par défaut, les plugins de désassembleur utilisent le nom du fichier d'entrée. Cependant, on peut avoir renommé le fichier à l'avance et il ne correspond plus au nom du processus réel ou du module chargé comme le montre le débogueur.

Ici, nous disons simplement au répartiteur pour correspondre au nom ntkrnlmp.exe (vrai nom) au lieu de ntoskrnl_vuln.exe (nom idb).

Le Frontend de débogage du créateur QT modifie la façon dont la sortie de la commande GDB est enregistrée. Étant donné que cela interférerait avec la synchronisation, une option existe pour utiliser la sortie GDB brute pour la synchronisation au lieu d'un fichier temporaire. Dans le fichier de configuration .Sync Utilisation

 [GENERAL]
use_tmp_logging_file=false

Si vous souhaitez utiliser le Frontend de débogage QT pour la cible.

Dans certains scénarios, tels que le débogage des dispositifs intégrés sur le micrologiciel en série ou brut dans QEMU, GDB n'est pas au courant du PID et ne peut pas accéder /proc/<pid>/maps .

Dans ces cas, la section [INIT] est utilisée pour transmettre un contexte personnalisé au plugin. Il permet de remplacer certains champs tels que le PID et les mappages de mémoire.

.sync Content Extrait:

 [INIT]
context = {
      "pid": 200,
      "mappings": [ [0x400000, 0x7A81158, 0x7681158, "asav941-200.qcow2|lina"] ]
  }

Chaque entrée dans les mappages est: mem_base , mem_end , mem_size , mem_name .

Dans certains scénarios, tels que le débogage des appareils intégrés ou la connexion à des interfaces de débogage minimalistes, il peut être plus pratique de contourner la fonction de rebasing d'adresse automatique implémentée dans les plugins de désassembleur.

L'option use_raw_addr est actuellement prise en charge uniquement pour Ghidra. Dans le fichier de configuration .Sync Utilisation:

 [GENERAL]
use_raw_addr=true

La branche IDA 7.x est requise. Pour les versions plus anciennes (6.9x), veuillez consulter la version archivée ida6.9x .

Pour l'installation d'IDA, copiez le dossier Syncplugin.py et retsync du répertoire ext_ida vers IDA Plugins, par exemple:

• C:Program FilesIDA Pro 7.4plugins
• %APPDATA%Hex-RaysIDA Proplugins
• ~/.idapro/plugins

1. Open IDB
2. Exécutez le plugin dans IDA ( Alt-Shift-S ) ou Edit -> Plugins -> ret-sync

 [sync] default idb name: ld.exe
[sync] sync enabled
[sync] cmdline: "C:Program FilesPython38python.exe" -u "C:UsersuserAppDataRoamingHex-RaysIDA Propluginsretsyncbroker.py" --idb "target.exe"
[sync] module base 0x100400000
[sync] hexrays #7.3.0.190614 found
[sync] broker started
[sync] plugin loaded
[sync] << broker << dispatcher not found, trying to run it
[sync] << broker << dispatcher now runs with pid: 6544
[sync] << broker << connected to dispatcher
[sync] << broker << listening on port 63107

Pour résoudre les problèmes avec l'extension IDA, deux options sont disponibles dans le fichier retsync/rsconfig.py :

 LOG_LEVEL = logging.INFO
LOG_TO_FILE_ENABLE = False

La définition de la valeur LOG_LEVEL sur logging.DEBUG rend le plugin plus verbeux.

Définition de la valeur LOG_TO_FILE_ENABLE à True déclenche la journalisation des informations d'exception de broker.py et dispatcher.py dans des fichiers dédiés. Le fichier journal est généré dans le dossier %TMP% avec un modèle de nom retsync.%s.err .

Utilisez la version prédéfinie du dossier ext_ghidra/dist ou suivez l'instruction pour la construire. Chaque build d'extension prend uniquement en charge la version de Ghidra spécifiée dans le nom de fichier du plugin. Par exemple ghidra_9.1_PUBLIC_20191104_retsync.zip est pour Ghidra 9.1 public.

1. Installer Ghidra
2. Installer Gradle

apt install gradle

3. Créer une extension pour votre installation Ghidra (remplacer $GHIDRA_DIR par votre répertoire d'installation)

 cd ext_ghidra
gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR

1. Depuis Ghidra Projects Manager: File -> Install Extensions... , cliquez sur le signe + et sélectionnez l' ext_ghidra/dist/ghidra_*_retsync.zip et cliquez sur OK. Cela extraire efficacement le dossier retsync du zip dans $GHIDRA_DIR/Extensions/Ghidra/
2. Redémarrez Ghidra comme demandé
3. Après le rechargement de Ghidra, ouvrez un module dans CodeBrowser. Il devrait vous dire qu'un nouveau plugin d'extension a été détecté. Sélectionnez "Oui" pour le configurer. Ensuite, cochez "RetSyncplugin" et cliquez sur OK. La console devrait montrer quelque chose comme:

 [*] retsync init
[>] programOpened: tm.sys
    imageBase: 0x1c0000000

4. De Ghidra CodeBrowser Tool: Utilisez des icônes de barre d'outils ou des raccourcis pour activer ( Alt+s ) / Disable ( Alt+Shift+s ) / Redémarrer ( Alt+r ) Synchronisation.

Une fenêtre d'état est également disponible à partir de Windows -> RetSyncPlugin . Vous voulez généralement le laisser tomber sur le côté pour l'intégrer avec les fenêtres de l'environnement Ghidra.

Le support binaire en ninja est expérimental, assurez-vous de sauvegarder vos bases de données d'analyse.

RET-Sync nécessite Binary Ninja version 2.2 au minimum ainsi que Python 3 (Python 2 n'est pas pris en charge).

RET-Sync n'est pas encore distribué par le gestionnaire de plugin de Ninja binaire; Une installation manuelle est requise. Copiez simplement ce contenu du dossier ext_bn dans le dossier des plugins ninja binaire, par exemple:

%APPDATA%Binary Ninjaplugins

Après avoir redémarré le ninja binaire, la sortie suivante doit être présente dans la fenêtre de la console:

 [sync] commands added
Loaded python3 plugin 'retsync'

Utilisez des binaires pré-construits ou utilisez la solution Visual Studio 2017 fournie dans ext_windbg , (voir https://docs.microsoft.com/en-us/visualstudio/releasenotes/vs2017-relnotes si nécessaire).

Cela construira le fichier x64releasesync.dll .

Vous devrez copier le fichier sync.dll résultant dans le chemin d'extension WindBG approprié.

• Windbg Classic:

Pour les versions antérieures de Windbg, c'est quelque chose comme ça (faites attention aux saveurs x86 / x64 ), par exemple

C:Program Files (x86)Windows Kits10Debuggersx64winextsync.dll

• Aperçu de Windbg

Le dossier de stockage d'extension semble être basé sur le chemin, vous devez donc le mettre l'un des emplacements interrogés.

Un exemple est de le mettre ici:

C:UsersuserAppDataLocalMicrosoftWindowsAppssync.dll

1. Lancez Windbg sur la cible
2. Extension de chargement (commande .load )

    0:000> .load sync
    [sync.dll] DebugExtensionInitialize, ExtensionApis loaded

3. Sync Windbg

      0:000> !sync
      [sync] No argument found, using default host (127.0.0.1:9100)
      [sync] sync success, sock 0x5a8
      [sync] probing sync
      [sync] sync is now enabled with host 127.0.0.1

Par exemple dans la fenêtre de sortie d'Ida

      [*] << broker << dispatcher msg: add new client (listening on port 63898), nb client(s): 1
      [*] << broker << dispatcher msg: new debugger client: dbg connect - HostMachineHostUser
      [sync] set debugger dialect to windbg, enabling hotkeys

Si le module actuel de Windbg correspond au nom du fichier IDA

      [sync] idb is enabled with the idb client matching the module name.

Remarque: Si vous obtenez l'erreur suivante, c'est parce que vous n'avez pas copié le fichier dans le bon dossier dans les étapes ci-dessus.

 0: kd> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n2
    "The system cannot find the file specified."
Please check your debugger configuration and/or network access.

L'erreur ci-dessous signifie généralement que WindBG a essayé de charger la saveur incorrecte de l'extension, Ex: x64 à la place du x86 sync.dll .

 0:000> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n193
    "%1 is not a valid Win32 application."
Please check your debugger configuration and/or network access.

Alors que WindBG Preview charge les deux plugins ( x86 et x64 ) à partir du même répertoire, on peut renommer le fichier x86 sync32.dll .

 0:000> .load sync32

1. Copiez le ext_gdb/sync.py dans le répertoire de votre choix
2. Chargez l'extension (voir Script de charge automatique)

    gdb> source sync.py
    [sync] configuration file loaded 192.168.52.1:9100
    [sync] commands added

Le support LLDB est cependant expérimental:

1. Extension de chargement (peut également être ajoutée dans ~/.lldbinit )

    lldb> command script import sync

Cependant, le support OLLYDBG 1.10 est expérimental:

1. Construisez le plugin à l'aide de la solution VS (en option, voir les binaires prédéfinis)
2. Copiez la DLL dans le répertoire du plugin d'Ollydbg

Cependant, le support OllyDBG2 est expérimental:

1. Construisez le plugin à l'aide de la solution VS (en option, voir les binaires prédéfinis)
2. Copiez la DLL dans le répertoire du plugin d'OlyDBG2

Basé sur TestPlugin, https://github.com/x64dbg/testplugin. Le support X64DBG est cependant expérimental:

1. Construisez le plugin à l'aide de la solution VS (facultatif, voir les binaires prédéfinis). Que vous ayez besoin d'une version différente du SDK du plugin, une copie peut être trouvée dans chaque version de x64dbg. Collez le répertoire " pluginsdk " dans " ext_x64dbgx64dbg_sync "
2. Copiez la DLL (extension est .d32 ou .dp64 ) dans le répertoire du plugin de X64DBG.

Pour les débuggeurs orientés vers la ligne de commande (principalement WindBG et GDB), un ensemble de commandes est exposé par RET-Sync pour aider à la tâche de l'inverse.

Les commandes ci-dessous sont génériques (WindBG et GDB), veuillez noter que A ! Le préfixe est nécessaire sur Windbg (par exemple: sync dans GDB , !sync dans Windbg).

Commandes spécifiques à WindBG:

Commandes spécifiques GDB:

Le champ de saisie Overwrite idb name est destiné à modifier le nom IDB par défaut. C'est le nom utilisé par le plugin pour s'inscrire auprès du répartiteur. Le commutateur automatique IDB est basé sur la correspondance du nom du module. En cas de noms contradictoires (comme un foo.exe et foo.dll ), cela peut être utilisé pour faciliter la correspondance. Veuillez noter que si vous modifiez le champ de saisie pendant que la synchronisation est active, vous devez vous réinscrire avec le répartiteur; Cela peut être fait simplement en utilisant le bouton " Restart ".

En tant que rappel, il est possible d'alias par défaut en utilisant le fichier de configuration .sync .

RET-Sync définit ces raccourcis mondiaux dans IDA:

• Alt-Shift-S - Exécutez le plugin RET-Sync
• Ctrl-Shift-S - Toggle Global Syncing
• Ctrl-H - Togue HEX Rays Synccing

Deux boutons sont également disponibles dans la barre d'outils de débogage pour basculer la synchronisation globale et les rayons hexagonaux.

Syncplugin.py enregistre également les raccourcis hot les hot-hot-hot-hot-kings.

• F2 - Définir le point d'arrêt à l'adresse du curseur
• F3 - Réglez le point d'arrêt unique à l'adresse du curseur
• Ctrl-F2 - Définissez le point d'arrêt matériel à l'adresse du curseur
• Ctrl-F3 - Définissez un point d'arrêt matériel à un seul coup à l'adresse du curseur
• Alt-F2 - Traduire (Rebase in Debugger) Adresse du curseur actuel
• Alt-F5 - allez
• Ctrl-Alt-F5 - Run (GDB uniquement)
• F10 - étape unique
• F11 - Trace unique

Ces commandes ne sont disponibles que lorsque l'IDB actuel est actif. Lorsque cela est possible, ils ont également été mis en œuvre pour d'autres débuggeurs.

Une fois que RetSyncplugin a ouvert ses portes, vous pouvez l'ajouter à la fenêtre CodeBrowser par simple drag'n'drop:

Si vous souhaitez afficher plusieurs modules, les fichiers doivent être ouverts dans la même visionneuse CodeBrowser, faites simplement glisser les autres dans la fenêtre CodeBrowser pour obtenir le résultat comme ci-dessus.

RET-Sync définit ces raccourcis mondiaux dans Ghidra:

• Alt-S - activer la synchronisation
• Alt-Shift-S - désactiver la synchronisation
• Alt-R - Redémarrer la synchronisation
• Alt-Shift-R - Configuration de rechargement

Les liaisons sur les commandes de débogueur sont également implémentées. Ils sont similaires à ceux de l'extension d'Ida (sauf la commande "go").

• F2 - Définir le point d'arrêt à l'adresse du curseur
• Ctrl-F2 - Définissez le point d'arrêt matériel à l'adresse du curseur
• Alt-F3 - définir un point d'arrêt unique à l'adresse du curseur
• Ctrl-F3 - Définissez un point d'arrêt matériel à un seul coup à l'adresse du curseur
• Alt-F2 - Traduire (Rebase in Debugger) Adresse du curseur actuel
• F5 - Allez
• Alt-F5 - Run (GDB uniquement)
• F10 - étape unique
• F11 - Trace unique

RET-Sync définit ces raccourcis mondiaux en ninja binaire:

• Alt-S - activer la synchronisation
• Alt-Shift-S - désactiver la synchronisation

Les liaisons sur les commandes de débogueur sont également implémentées. Ils sont similaires à ceux de l'extension d'Ida.

• F2 - Définir le point d'arrêt à l'adresse du curseur
• Ctrl-F2 - Définissez le point d'arrêt matériel à l'adresse du curseur
• Alt-F3 - définir un point d'arrêt unique à l'adresse du curseur
• Ctrl-F3 - Définissez un point d'arrêt matériel à un seul coup à l'adresse du curseur
• Alt-F2 - Traduire (Rebase in Debugger) Adresse du curseur actuel
• Alt-F5 - allez
• F10 - étape unique
• F11 - Trace unique

• ! Sync : commencer la synchronisation
• ! Syncoff : Arrêtez la synchronisation
• ! Synchelp : Affichez la liste des commandes disponibles avec une courte explication.
• ! CMT [-a adresse] : Ajouter un commentaire sur IP actuel dans IDA

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57    push    edi

    0:000:x86> dd esp 8
    0028ed94  00000000 00433845 0028eebc 00000032
    0028eda4  0028f88c 00000064 002b049e 00000110

    0:000:x86> !cmt 0028ed94  00000000 00433845 0028eebc 00000032
    [sync.dll]  !cmt called

    [IDA]
    .text:00430DB1    push    edi             ; 0028ed94  00000000 00433845 0028eebc 00000032

• ! rcmt [-a adresse] : réinitialiser le commentaire sur IP actuel dans ida

    [WinDbg]
    0:000:x86> !rcmt
    [sync] !rcmt called

    [IDA]
    .text:00430DB1    push    edi

• ! fcmt [-a adresse] : ajouter un commentaire de fonction pour la fonction dans laquelle est situé en actuel IP

    [WinDbg]
    0:000:x86> !fcmt decodes buffer with key
    [sync] !fcmt called

    [IDA]
    .text:004012E0 ; decodes buffer with key
    .text:004012E0                 public decrypt_func
    .text:004012E0 decrypt_func    proc near
    .text:004012E0                 push    ebp

Remarque: Appeler cette commande sans argument réinitialiser le commentaire de la fonction.

• ! Raddr : Ajoutez un commentaire avec une adresse rebelle évaluée à partir de l'expression
• ! RLN : Obtenez le symbole du démontbler pour l'adresse donnée
• ! lbl [-a adresse] : Ajoutez un nom d'étiquette sur IP actuel dans Disassebler

    [WinDbg]
    0:000:x86> !lbl meaningful_label
    [sync] !lbl called

    [IDA]
    .text:000000000040271E meaningful_label:
    .text:000000000040271E    mov     rdx, rsp

• ! CMD : Exécutez une commande dans Windbg et ajoutez sa sortie comme commentaire sur IP actuel dans Disassebler

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57     push    edi
    [sync.dll]  !cmd r edi

    [IDA]
    .text:00430DB1    push    edi             ; edi=00000064

• ! BC <|| sur | OFF | SET 0XBBGGRR> : Activer / désactiver la coloration du chemin dans le désassembleur. Ce n'est pas un outil de traçage de code, il existe des outils efficaces pour cela. Chaque instruction manuellement en pas est colorée dans le graphique. Colorez une seule instruction sur IP actuelle si appelée sans argument. L'argument "SET" est utilisé pour définir la couleur du chemin avec un nouveau code HEX RVB (réinitialiser la couleur si elle est appelée avec une valeur> 0xffffff).
• ! IdBlist : obtenez la liste de tous les clients IDB connectés au répartiteur:

    [WinDbg]
    0:000> !idblist
    > currently connected idb(s):
        [0] target.exe

• ! syncmodauto <on | off> : Activer / désactiver le commutateur automobile de désassembleur en fonction du nom du module:

    [WinDbg]
    0:000> !syncmodauto off

    [IDA]
    [*] << broker << dispatcher msg: sync mode auto set to off

• ! IDBN : Réglez les IDB actifs au nième client. n devrait être une valeur décimale valide. Ceci est un mode semi-automatique (hommage personnel au formidable JJ)

    [WinDbg]
    0:000:> !idbn 0
    > current idb set to 0

Dans cet exemple, le client IDB actif actuel aurait été défini sur:

	[0] target.exe.

• ! JMPTO : L'expression donnée comme argument est évaluée dans le contexte du statut actuel du débogueur. La vue du démontrant est ensuite synchronisée avec l'adresse résultante si un module de correspondance est enregistré. Peut être considéré comme une synchronisation manuelle, la relocalisation est automatiquement effectuée, à la volée. Particulièrement utile pour le binaire relocalisé au hasard.
• ! JMPRAW : L'expression donnée comme argument est évaluée dans le contexte du statut actuel du débogueur. Si une IDB est activée, la vue de Disassebler est synchronisée avec l'adresse résultante. L'adresse n'est pas rebondie et il n'y a pas de commutation IDB. Particulièrement utile pour le code alloué / généré dynamiquement.
• ! Modmap : un module synthétique ("FAKED") (défini à l'aide de son adresse et de sa taille de base) est ajouté à la liste interne du débogueur. De MSDN: "Si tous les modules sont rechargés - par exemple, en appelant un rechargement avec le paramètre du module défini sur une chaîne vide - tous les modules synthétiques seront jetés." Il peut être utilisé pour déboguer plus facilement le code alloué / généré dynamiquement.
• ! modunmap : supprimez un module synthétique mappé précédemment à l'adresse de base.
• ! modCheck <|| md5> : Utiliser pour vérifier si le module actuel correspond vraiment au fichier d'IDB (ex: le module a été mis à jour) Lorsqu'il est appelé sans argument, le GUID de PDB du répertoire debug est utilisé. Il peut également utiliser MD5, mais uniquement avec un déboggge local (pas dans le débogage éloigné du noyau).
• ! BPCMDS <|| Enregistrer | Charger |> : Emballage BPCMDS , enregistrer et recharger .BPCMDS (Breakpoints Commands List) Sortie sur les IDB actuels. Afficher (mais ne pas exécuter) les données enregistrées si elles sont appelées sans argument. Le stockage persistant est obtenu à l'aide de la fonction NetNode d'IDA.
• ! KS : Sortie améliorée du langage de balisage de débogueur (DML) de la commande KV . Les adresses de code sont cliquables ( ! JMPTO ) ainsi que les adresses de données ( DC ).
• ! Traduire : destiné à être utilisé à partir d'IDA (raccourci Alt-F2 ), rébase une adresse par rapport au nom et au décalage de son module.

! CMT ,! RCMT et ! Les commandes FCMT prennent en charge une option d'adresse facultative: -a ou --address . L'adresse doit être transmise en valeur hexadécimale. L'analyse de commande est basée sur le module argparse de Python. Pour arrêter l'utilisation d'analyse de ligne -- .

    [WinDbg]
    0:000:x86> !cmt -a 0x430DB2 comment

L'adresse doit être l'adresse d'une instruction valide.

Synchroniser avec l'hôte:

    gdb> sync
    [sync] sync is now enabled with host 192.168.52.1
    <not running>

    gdb> r
    Starting program: /bin/ls
    [Thread debugging using libthread_db enabled]
    Using host libthread_db library "/lib/libthread_db.so.1".

Utilisez des commandes, sans "!" préfixe

    (gdb) cmd x/i $pc
    [sync] command output: => 0x8049ca3:    push   edi

    (gdb) synchelp
    [sync] extension commands help:
     > sync <host>
     > syncoff
     > cmt [-a address] <string>
     > rcmt [-a address] <string>
     > fcmt [-a address] <string>
     > cmd <string>
     > bc <on|off|>
     > rln <address>
     > bbt <symbol>
     > patch <addr> <count> <size>
     > bx /i <symbol>
     > cc
     > translate <base> <addr> <mod>

• RLN : Obtenez le symbole de l'IDB pour l'adresse donnée
• BBT : Belle contour. Similaire à BT mais demande des symboles de Disassebler

    (gdb) bt
    #0  0x0000000000a91a73 in ?? ()
    #1  0x0000000000a6d994 in ?? ()
    #2  0x0000000000a89125 in ?? ()
    #3  0x0000000000a8a574 in ?? ()
    #4  0x000000000044f83b in ?? ()
    #5  0x0000000000000000 in ?? ()
    (gdb) bbt
    #0 0x0000000000a91a73 in IKE_GetAssembledPkt ()
    #1 0x0000000000a6d994 in catcher ()
    #2 0x0000000000a89125 in IKEProcessMsg ()
    #3 0x0000000000a8a574 in IkeDaemon ()
    #4 0x000000000044f83b in sub_44F7D0 ()
    #5 0x0000000000000000 in  ()

• Patch : Patch octets en désassembleur en fonction du contexte en direct
• BX : Beau affichage. Similaire à x mais en utilisant un symbole. Le symbole sera résolu par le désassembleur.
• CC : Continuez au curseur dans le désassembleur. Ceci est une alternative à l'utilisation F3 pour définir un point d'arrêt à un coup et F5 pour continuer. Ceci est utile si vous préférez le faire à partir de GDB.

    (gdb) b* 0xA91A73
    Breakpoint 1 at 0xa91a73
    (gdb) c
    Continuing.

    Breakpoint 1, 0x0000000000a91a73 in ?? ()
    (gdb) cc
    [sync] current cursor: 0xa91a7f
    [sync] reached successfully
    (gdb)

1. Synchroniser avec l'hôte

    lldb> process launch -s
    lldb> sync
    [sync] connecting to localhost
    [sync] sync is now enabled with host localhost
    [sync] event handler started

2. Utiliser les commandes

    lldb> synchelp
    [sync] extension commands help:
     > sync <host>                   = synchronize with <host> or the default value
     > syncoff                       = stop synchronization
     > cmt <string>                  = add comment at current eip in IDA
     > rcmt <string>                 = reset comments at current eip in IDA
     > fcmt <string>                 = add a function comment for 'f = get_func(eip)' in IDA
     > cmd <string>                  = execute command <string> and add its output as comment at current eip in IDA
     > bc <on|off|>                  = enable/disable path coloring in IDA
                                       color a single instruction at current eip if called without argument
    lldb> cmt mooo

1. Utilisez le menu des plugins ou les raccourcis pour activer ( Alt+s ) / désactiver ( Alt+u ) synchronisation.

1. Utilisez le menu des plugins ou les raccourcis pour activer ( Ctrl+s ) / désactiver ( Ctrl+u ) Synchronisation.

En raison de l'état bêta de l'API Olydbg2, seules les fonctionnalités suivantes ont été implémentées:

• Sync graphique [Utiliser F7 ; F8 pour tremper]
• Commentaire [Utilisez CTRL+; ]]
• Étiquette [Utilisez CTRL+: ]

1. Utilisez le menu des plugins ou les commandes Activer (" !sync" ) ou désactiver (" !syncoff ") Synchronisation.

2. Utiliser les commandes

 [sync] synchelp command!
[sync] extension commands help:
 > !sync                          = synchronize with <host from conf> or the default value
 > !syncoff                       = stop synchronization
 > !syncmodauto <on | off>        = enable / disable idb auto switch based on module name
 > !synchelp                      = display this help
 > !cmt <string>                  = add comment at current eip in IDA
 > !rcmt <string>                 = reset comments at current eip in IDA
 > !idblist                       = display list of all IDB clients connected to the dispatcher
 > !idb <module name>             = set given module as the active idb (see !idblist)
 > !idbn <n>                      = set active idb to the n_th client. n should be a valid decimal value
 > !translate <base> <addr> <mod> = rebase an address with respect to local module's base

Remarque: L'utilisation de la commande ! Translate d'un désassembleur (ida / ghidra, raccourci Alt-F2 ), fera la fenêtre de désassembleur pour "sauter" à l'adresse spécifique (équivalent de l'exécution de désasme dans la ligne de commande x64dbg).

On peut vouloir utiliser des fonctionnalités de base RET-Sync (synchronisation de position avec un démontbler, une résolution de symboles) même si un environnement de débogage complet n'est pas disponible ou avec un outil personnalisé. À cette fin, une bibliothèque Python minimaliste a été extraite.

L'exemple ci-dessous illustre l'utilisation de la bibliothèque Python avec un script qui traverse la sortie d'un outil de journalisation / traçage basé sur des événements.

 from sync import *

HOST = '127.0.0.1'

MAPPINGS = [
    [ 0x555555400000 , 0x555555402000 ,  0x2000 , " /bin/tempfile" ],
    [ 0x7ffff7dd3000 , 0x7ffff7dfc000 , 0x29000 , " /lib/x86_64-linux-gnu/ld-2.27.so" ],
    [ 0x7ffff7ff7000 , 0x7ffff7ffb000 ,  0x4000 , " [vvar]" ],
    [ 0x7ffff7ffb000 , 0x7ffff7ffc000 ,  0x1000 , " [vdso]" ],
    [ 0x7ffffffde000 , 0x7ffffffff000 , 0x21000 , " [stack]" ],
]

EVENTS = [
    [ 0x0000555555400e74 , "malloc" ],
    [ 0x0000555555400eb3 , "open" ],
    [ 0x0000555555400ee8 , "exit" ]
]

synctool = Sync ( HOST , MAPPINGS )

for e in EVENTS :
    offset , name = e
    synctool . invoke ( offset )
    print ( "    0x%08x - %s" % ( offset , name ))
    print ( "[>] press enter for next event" )
    input ()

Bien que initialement axé sur l'analyse dynamique (débogueurs), il est possible de prolonger l'ensemble des plugins et de s'intégrer à d'autres outils.

• Intégration avec la plateforme REVEN TEMPELTESS Analysis and Debogging par Tetrane:
  • http://blog.tetrane.com/2015/02/reven-in-your-toolkit.html
  • https://twitter.com/tetrane/status/1374768014193799175
• Intégration avec l'émulateur EFI DXE par ASSAF Carlsbad (@ASSAF_CARLSBAD):
  • https://twitter.com/assaf_carlsbad/status/1242114356881641474
  • https://github.com/assafcarlsbad/efi_dxe_emulator

Autres ressources (s):

• " Combinaison d'analyse binaire statique et dynamique - ret-sync " par Jean-Christophe delaunay
  • https://www.synacktiv.com/ressources/bieresecu1_ret-ync_en.pdf

• Bien sûr.

• Testé avec Python 2.7 / 3.7, IDA 7.7 (Windows, Linux et Mac OS X), Ghidra 10.1.1, Ninja 3.0.3225-Dev, GNU GDB (GDB) 8.1.0 (Debian), LLDB 310.2.37.
• Il n'y a aucune authentification / cryptage entre les parties; Vous êtes seul.
• Le code auto-modifiant est hors de portée.

Avec gdb:

• Il semble que l'événement d'arrêt ne soit pas appelé lors de l'utilisation de la commande «retour».
• Le débogage multi-threading a des problèmes avec les signaux.

Avec Windbg:

• Le plugin client d'IDA est notifié même si rencontré Breakpoint utilise une chaîne de commandes qui le fait continuer (« g »). Cela peut provoquer un ralentissement majeur s'il y a trop de ces événements. Une correction limitée a été implémentée, la meilleure solution est toujours de se synchroniser temporairement.
• Condition de course possible

Avec Ghidra:

• Les raccourcis ne fonctionnent pas comme prévu dans le widget de décompilateur.

Avec Ida:

• Le redémarrage de la fenêtre de graphique est assez lent pour les gros graphiques.
• RET-Sync Raccourts conflits dans les environnements Linux.

Conflit (s):

• Le logiciel Logitech Updater est connu pour utiliser le même port par défaut (9100). Une solution consiste à utiliser un fichier de configuration .sync global pour définir un port différent.

 [INTERFACE]
host=127.0.0.1
port=9234

RET-Sync est un logiciel gratuit: vous pouvez le redistribuer et / ou le modifier en vertu des termes de la licence publique générale GNU publiée par la Free Software Foundation, soit la version 3 de la licence, soit (à votre option) n'importe quelle version ultérieure.

Ce programme est distribué dans l'espoir qu'il sera utile, mais sans aucune garantie; Sans même la garantie implicite de qualité marchande ou d'adéquation à un usage particulier. Voir la licence publique générale GNU pour plus de détails.

Vous devriez avoir reçu une copie de la licence publique générale GNU avec ce programme. Sinon, voir http://www.gnu.org/licenses/.

Le plugin binaire Ninja est publié sous la licence MIT.

Hail to Bruce Dang, Stalkr, @ Ivanlef0u, Damien Aumaître, Sébastien Renaud et Kévin Szkudlapski, @ M00dy , @Saidelike, Xavier Mehrenberger, Ben64, Raphaël Rigo, Jiss pour leur gentillesse, aide, commentaires et pensées. Ilfak Guilfanov, Igor Skochinsky et Arnaud Diederen pour leur aide avec les internes d'IDA et le soutien exceptionnel. Merci à Jordan Wiens and Vector 35. Enfin, merci également à tous les contributeurs et à tous ceux qui ont signalé des problèmes / bogues.