ret sync

Ret-Sync adalah singkatan dari sinkronisasi alat rekayasa balik. Ini adalah satu set plugin yang membantu menyinkronkan sesi debugging (WindBG/GDB/LLDB/OLLYDBG/OLLYDBG2/X64DBG) dengan disassembler (IDA/GHIDRA/BINARY NINJA). Gagasan yang mendasarinya sederhana: ambil yang terbaik dari kedua dunia (analisis statis dan dinamis).

Debuggers dan analisis dinamis memberi kita:

• Tampilan lokal, dengan konteks dinamis langsung (register, memori, dll. )
• fitur khusus bawaan/API (mis: windbg's !peb , !drvobj , !address , dll. )

Pembongkaran dan analisis statis memberi kita:

• tampilan makro melalui modul
• Analisis kode, tanda tangan, jenis, dll.
• Tampilan grafik mewah
• dekompilasi
• Penyimpanan pengetahuan yang persisten dalam IDBS/GPRS

Fitur Utama:

• Sinkronisasi Tampilan Grafik dan Dekompilasi dengan Negara Debugger
• Tidak perlu berurusan dengan ASLR, alamatnya dibebaskan kembali saat itu
• Data lulus (komentar, output perintah) dari debugger ke disassembler
• Beberapa IDBS/GPR dapat disinkronkan secara bersamaan memungkinkan untuk dengan mudah melacak melalui beberapa modul
• Disassembler dan debugger dapat berada di host / VM yang berbeda

Ret-Sync adalah garpu QB-Sync yang saya kembangkan dan pertahankan selama saya tinggal di Quarkslab.

• Konten repositori
• Prasyarat Umum
• Rilis biner
• Konfigurasi Ret-Sync
• Instalasi
  • Ekstensi Ida
  • Ekstensi Ghidra
  • Ekstensi Ninja Biner
  • Ekstensi WindBG
  • Instalasi GNU GDB (GDB)
  • Instalasi LLDB
  • Instalasi OllydBG 1.10
  • Instalasi OLLYDBG2
  • Instalasi X64DBG
• Penggunaan
  • Perintah Ret-Sync Debugger
  • Penggunaan Ida
  • Penggunaan Ghidra
  • Penggunaan ninja biner
  • Penggunaan windbg
  • Penggunaan GNU GDB (GDB)
  • Penggunaan LLDB
  • OLLYDBG 1.10 Penggunaan
  • Penggunaan ollydbg2
  • Penggunaan X64DBG
  • Penggunaan Perpustakaan Python
• Memperpanjang
• Todo
• Bug/batasan yang diketahui
• Lisensi
• Salam

Plugin Debugger:

• ext_windbg/sync : File Sumber Ekstensi WindBG, Setelah Dibangun: sync.dll
• ext_gdb/sync.py : plugin GDB
• ext_lldb/sync.py : plugin lldb
• ext_olly1 : plugin OllydBG 1.10
• ext_olly2 : Plugin OllydBg V2
• ext_x64dbg : plugin x64dbg

Plugin Disassembler:

• ext_ida/SyncPlugin.py
• ext_ghidra/dist/ghidra_*_retsync.zip : plugin ghidra
• ext_bn/retsync : plugin ninja biner

Dan plugin perpustakaan:

• ext_lib/sync.py : Perpustakaan Python mandiri

Plugin IDA dan GDB memerlukan pengaturan Python yang valid. Python 2 (> = 2.7) dan Python 3 didukung.

Binari pra-dibangun untuk debugger windbg/ollydbg/ollydbg2/x64dbg diusulkan melalui pipa Azure DevOps :

Pilih build terakhir dan periksa artefak di bawah bagian Related : 6 published .

Arsip plugin yang sudah dibangun dari plugin Ghidra disediakan di ext_ghidra/dist .

Ret-Sync harus bekerja di luar kotak untuk sebagian besar pengguna dengan pengaturan khas: Debugger dan Disassembler pada host yang sama, pencocokan nama modul.

Namun, dalam beberapa skenario konfigurasi tertentu dapat digunakan. Untuk itu, ekstensi dan plugin memeriksa file konfigurasi global opsional bernama .sync di direktori home pengguna. Itu harus menjadi file .INI yang valid.

Selain itu, plugin IDA dan GHIDRA juga mencari file konfigurasi di IDB atau Project Directory ( <project>.rep ) terlebih dahulu untuk mengizinkan pengaturan lokal, per-IDB/proyek,. Jika ada file konfigurasi lokal, file konfigurasi global diabaikan.

Nilai yang dinyatakan dalam file konfigurasi ini mengganti nilai default. Harap dicatat, bahwa .sync dibuat secara default.

Di bawah ini kami detail, tiga skenario umum di mana file konfigurasi bermanfaat/dibutuhkan:

• Debugging jarak jauh
• Modul Nama Ketidakcocokan
• PID yang hilang

Bagian [INTERFACE] digunakan untuk menyesuaikan pengaturan terkait jaringan. Misalkan seseorang ingin menyinkronkan IDA dengan debugger yang berjalan di dalam mesin virtual (atau hanya host lain), skenario debugging kernel jarak jauh yang umum.

Cukup buat dua file .sync :

• Satu di mesin tempat IDA diinstal, di direktori IDB:
• Untuk Ghidra, Place at Home Directory, mis. "/Home/User" atau "C: Users User".

 [INTERFACE]
host=192.168.128.1
port=9234

Ini memberi tahu plugin Ret-Sync IDA untuk mendengarkan di antarmuka 192.168.128.1 dengan port 9234 . Tak perlu dikatakan bahwa antarmuka ini harus dapat dijangkau dari host jarak jauh atau mesin virtual.

• Satu di mesin tempat debugger dieksekusi, di direktori home pengguna:

 [INTERFACE]
host=192.168.128.1
port=9234

Ini memberi tahu plugin Ret-Sync Debugger untuk terhubung ke plugin Ret-Sync IDA yang dikonfigurasi sebelumnya untuk mendengarkan di antarmuka ini.

Catatan: Anda harus menentukan IP nyata di sini, dan tidak menggunakan 0.0.0.0 . Ini karena variabel digunakan oleh banyak sumber baik untuk mengikat dan menghubungkan, jadi menggunakan 0.0.0.0 akan menghasilkan kesalahan aneh.

 [ALIASES]
ntoskrnl_vuln.exe=ntkrnlmp.exe

Bagian [ALIASES] digunakan untuk menyesuaikan nama yang digunakan oleh Disassembler (IDA/GHIDRA) untuk mendaftarkan modul ke Dispatcher/Program Manager -nya.

Secara default, plugin Disassembler menggunakan nama file input. Namun orang mungkin telah mengganti nama file sebelumnya dan tidak cocok lagi dengan nama proses yang sebenarnya atau modul yang dimuat seperti yang terlihat oleh debugger.

Di sini kami cukup memberi tahu kepada dispatcher untuk mencocokkan nama ntkrnlmp.exe (nama asli) alih -alih ntoskrnl_vuln.exe (nama IDB).

Frontend Debugging Pencipta QT mengubah cara output perintah GDB dicatat. Karena ini akan mengganggu sinkronisasi, ada opsi untuk menggunakan output GDB mentah untuk sinkronisasi alih -alih file sementara. Dalam penggunaan file konfigurasi .sync

 [GENERAL]
use_tmp_logging_file=false

Jika Anda ingin menggunakan frontend Debugging QT untuk target.

Dalam beberapa skenario, seperti debugging perangkat tertanam melalui firmware serial atau mentah di QEMU, GDB tidak mengetahui PID dan tidak dapat mengakses /proc/<pid>/maps .

Dalam kasus ini, bagian [INIT] digunakan untuk meneruskan konteks khusus ke plugin. Ini memungkinkan mengesampingkan beberapa bidang seperti pemetaan PID dan memori.

Ekstrak konten .sync :

 [INIT]
context = {
      "pid": 200,
      "mappings": [ [0x400000, 0x7A81158, 0x7681158, "asav941-200.qcow2|lina"] ]
  }

Setiap entri dalam pemetaan adalah: mem_base , mem_end , mem_size , mem_name .

Dalam beberapa skenario, seperti debugging perangkat tertanam atau menghubungkan ke antarmuka debug minimalis, mungkin lebih nyaman untuk memotong fitur rebasing alamat otomatis yang diimplementasikan dalam plugin Disassembler.

Opsi use_raw_addr saat ini hanya didukung untuk Ghidra. Di .Sync Konfigurasi Penggunaan File:

 [GENERAL]
use_raw_addr=true

IDA 7.X diperlukan cabang. Untuk versi yang lebih lama (6.9x) Silakan lihat rilis yang diarsipkan ida6.9x .

Untuk instalasi IDA, salin folder Syncplugin.py dan retsync dari ext_ida ke IDA Plugins Directory, misalnya:

• C:Program FilesIDA Pro 7.4plugins
• %APPDATA%Hex-RaysIDA Proplugins
• ~/.idapro/plugins

1. Buka IDB
2. Jalankan plugin di IDA ( Alt-Shift-S ) atau Edit > Plugins > ret-sync

 [sync] default idb name: ld.exe
[sync] sync enabled
[sync] cmdline: "C:Program FilesPython38python.exe" -u "C:UsersuserAppDataRoamingHex-RaysIDA Propluginsretsyncbroker.py" --idb "target.exe"
[sync] module base 0x100400000
[sync] hexrays #7.3.0.190614 found
[sync] broker started
[sync] plugin loaded
[sync] << broker << dispatcher not found, trying to run it
[sync] << broker << dispatcher now runs with pid: 6544
[sync] << broker << connected to dispatcher
[sync] << broker << listening on port 63107

Mengatasi masalah dengan IDA Extension Two Options tersedia di file retsync/rsconfig.py :

 LOG_LEVEL = logging.INFO
LOG_TO_FILE_ENABLE = False

Mengatur nilai LOG_LEVEL ke logging.DEBUG membuat plugin lebih verbose.

Mengatur nilai LOG_TO_FILE_ENABLE untuk True pencatatan informasi pengecualian dari broker.py dan dispatcher.py ke dalam file khusus. File log dihasilkan dalam folder %TMP% dengan pola nama retsync.%s.err .

Baik menggunakan versi pra-dibangun dari folder ext_ghidra/dist atau ikuti instruksi untuk membangunnya. Setiap Extension Build hanya mendukung versi GHIDRA yang ditentukan dalam nama file plugin. Misalnya ghidra_9.1_PUBLIC_20191104_retsync.zip adalah untuk Ghidra 9.1 Publik.

1. Instal Ghidra
2. Instal Gradle

apt install gradle

3. Bangun ekstensi untuk instalasi GHIDRA Anda (ganti $GHIDRA_DIR dengan direktori instalasi Anda)

 cd ext_ghidra
gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR

1. Dari Ghidra Projects Manager: File -> Install Extensions... , klik pada tanda + dan pilih ext_ghidra/dist/ghidra_*_retsync.zip dan klik OK. Ini akan secara efektif mengekstrak folder retsync dari zip menjadi $GHIDRA_DIR/Extensions/Ghidra/
2. Restart ghidra seperti yang diminta
3. Setelah memuat ulang Ghidra, buka modul di Codebrowser. Ini harus memberi tahu Anda bahwa plugin ekstensi baru telah terdeteksi. Pilih "Ya" untuk mengonfigurasinya. Kemudian centang "retsyncplugin" dan klik OK. Konsol harus menunjukkan sesuatu seperti:

 [*] retsync init
[>] programOpened: tm.sys
    imageBase: 0x1c0000000

4. Dari Ghidra Codebrowser Tool: Gunakan ikon atau pintasan toolbar untuk mengaktifkan ( Alt+s )/nonaktifkan ( Alt+Shift+s )/restart ( Alt+r ) sinkronisasi.

Jendela status juga tersedia dari Windows -> RetSyncPlugin . Anda biasanya ingin menjatuhkannya di samping untuk mengintegrasikannya dengan jendela lingkungan Ghidra.

Dukungan ninja biner adalah eksperimental, pastikan untuk membuat cadangan database analisis Anda.

Ret-Sync membutuhkan ninja biner versi 2.2 minimal serta Python 3 (Python 2 tidak didukung).

Ret-Sync belum didistribusikan melalui manajer plugin ninja biner; diperlukan instalasi manual. Cukup salin konten folder ext_bn ke folder plugin Ninja Biner, misalnya:

%APPDATA%Binary Ninjaplugins

Setelah memulai kembali ninja biner, output berikut harus ada di jendela konsol:

 [sync] commands added
Loaded python3 plugin 'retsync'

Baik menggunakan biner pra-dibangun atau menggunakan solusi Visual Studio 2017 yang disediakan di ext_windbg , (lihat https://docs.microsoft.com/en-us/visualstudio/releasenotes/vs2017-relnotes jika diperlukan).

Ini akan membangun file x64releasesync.dll .

Anda perlu menyalin file sync.dll yang dihasilkan ke jalur ekstensi WindBG yang sesuai.

• Windbg Classic:

Untuk versi windbg sebelumnya ini adalah sesuatu seperti ini (hati -hati dengan rasa x86 / x64 ), misalnya

C:Program Files (x86)Windows Kits10Debuggersx64winextsync.dll

• Pratinjau WindBG

Folder untuk menyimpan ekstensi tampaknya didasarkan pada jalur, jadi Anda harus menempatkannya salah satu lokasi pertanyaan.

Salah satu contohnya adalah meletakkannya di sini:

C:UsersuserAppDataLocalMicrosoftWindowsAppssync.dll

1. Luncurkan WindBG tepat
2. Muat ekstensi (perintah .load )

    0:000> .load sync
    [sync.dll] DebugExtensionInitialize, ExtensionApis loaded

3. Sinkronkan windbg

      0:000> !sync
      [sync] No argument found, using default host (127.0.0.1:9100)
      [sync] sync success, sock 0x5a8
      [sync] probing sync
      [sync] sync is now enabled with host 127.0.0.1

Misalnya di jendela output Ida

      [*] << broker << dispatcher msg: add new client (listening on port 63898), nb client(s): 1
      [*] << broker << dispatcher msg: new debugger client: dbg connect - HostMachineHostUser
      [sync] set debugger dialect to windbg, enabling hotkeys

Jika modul WindBG saat ini cocok dengan nama file IDA

      [sync] idb is enabled with the idb client matching the module name.

Catatan: Jika Anda mendapatkan kesalahan berikut, itu karena Anda belum menyalin file ke folder yang tepat di langkah -langkah di atas.

 0: kd> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n2
    "The system cannot find the file specified."
Please check your debugger configuration and/or network access.

Kesalahan di bawah ini biasanya berarti bahwa WindBG mencoba memuat rasa yang salah dari ekstensi, mis: x64 sebagai pengganti x86 sync.dll .

 0:000> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n193
    "%1 is not a valid Win32 application."
Please check your debugger configuration and/or network access.

Saat pratinjau WindBG memuat kedua plugin ( x86 dan x64 ) dari direktori yang sama, orang dapat mengganti nama file x86 sync32.dll .

 0:000> .load sync32

1. Salin ext_gdb/sync.py ke direktori pilihan Anda
2. Muat ekstensi (lihat skrip-beban otomatis)

    gdb> source sync.py
    [sync] configuration file loaded 192.168.52.1:9100
    [sync] commands added

Namun, dukungan LLDB bersifat eksperimental:

1. Load Extension (juga dapat ditambahkan dalam ~/.lldbinit )

    lldb> command script import sync

Dukungan OllydBG 1.10 adalah eksperimental, namun:

1. Bangun plugin menggunakan solusi VS (opsional, lihat biner pra-built)
2. Salin DLL di dalam direktori plugin OllydBG

Dukungan OllyDBG2 adalah eksperimental, namun:

1. Bangun plugin menggunakan solusi VS (opsional, lihat biner pra-built)
2. Salin DLL dalam direktori plugin OllydBG2

Berdasarkan testplugin, https://github.com/x64dbg/testplugin. Namun, dukungan X64DBG adalah eksperimental:

1. Bangun plugin menggunakan solusi VS (opsional, lihat biner pra-buatan). Semoga Anda memerlukan versi plugin SDK yang berbeda, salinan dapat ditemukan di setiap rilis X64DBG. Tempel Direktori " pluginsdk " ke " ext_x64dbgx64dbg_sync "
2. Salin dll (ekstensi adalah .d32 atau .dp64 ) dalam direktori plugin x64dBG.

Untuk debuggers berorientasi baris perintah (terutama WindBG dan GDB), serangkaian perintah diekspos oleh ret-sync untuk membantu dalam tugas rekayasa balik.

Perintah di bawah ini generik (windbg dan gdb), harap dicatat bahwa a ! Diperlukan awalan pada windbg (misalnya: sync dalam GDB , !sync di WindBG).

Perintah spesifik windbg:

Perintah spesifik GDB:

Bidang input Overwrite idb name dimaksudkan untuk mengubah nama IDB default. Ini adalah nama yang digunakan oleh plugin untuk mendaftar dengan dispatcher. IDB Automatic Switch didasarkan pada pencocokan nama modul. Dalam hal nama yang bertentangan (seperti foo.exe dan foo.dll ), ini dapat digunakan untuk memudahkan pencocokan. Harap dicatat, jika Anda memodifikasi bidang input saat sinkronisasi aktif, Anda harus mendaftar ulang dengan operator; Ini dapat dilakukan hanya dengan menggunakan tombol " Restart ".

Sebagai pengingat dimungkinkan untuk alias secara default menggunakan file konfigurasi .sync .

Ret-sync mendefinisikan pintasan global ini di IDA:

• Alt-Shift-S -Jalankan Plugin Ret-Sync
• Ctrl-Shift-S -Toggle Global Syncing
• Ctrl-H -Toggle Hex-Rays Syncing

Dua tombol juga tersedia di bilah alat debug untuk beralih global dan sinkronisasi sinar-hex.

Syncplugin.py juga mendaftarkan debugger command wrapper hotkeys.

• F2 - Set Breakpoint di Alamat Kursor
• F3 - Tetapkan breakpoint satu -shot di alamat kursor
• Ctrl-F2 - Set Breakpoint Perangkat Keras di Alamat Kursor
• Ctrl-F3 -Tetapkan breakpoint perangkat keras satu-shot di alamat kursor
• Alt-F2 - Alamat Kursor Terjemahan (Rebase in Debugger)
• Alt-F5 - GO
• Ctrl-Alt-F5 -RUN (hanya GDB)
• F10 - Langkah Tunggal
• F11 - Jejak tunggal

Perintah ini hanya tersedia saat IDB saat ini aktif. Jika memungkinkan mereka juga telah diterapkan untuk orang lain debugger.

Setelah retsyncplugin dibuka, Anda dapat menambahkannya ke jendela Codebrowser dengan drag'n'drop sederhana:

Jika Anda ingin melihat beberapa modul, file harus terbuka di penampil codebrowser yang sama, cukup seret yang tambahan yang tambahan di jendela Codebrowser untuk mendapatkan hasilnya seperti di atas.

Ret-Sync mendefinisikan pintasan global ini di Ghidra:

• Alt-S - Aktifkan Sinkronisasi
• Alt-Shift-S -Nonaktifkan Sinkronisasi
• Alt-R - Restart Syncing
• Alt-Shift-R -Muat Ulang Konfigurasi

Ikatan atas perintah debugger juga diimplementasikan. Mereka mirip dengan yang dari ekstensi Ida (kecuali perintah "go").

• F2 - Set Breakpoint di Alamat Kursor
• Ctrl-F2 - Set Breakpoint Perangkat Keras di Alamat Kursor
• Alt-F3 -Tetapkan breakpoint satu tembakan di alamat kursor
• Ctrl-F3 -Tetapkan breakpoint perangkat keras satu-shot di alamat kursor
• Alt-F2 - Alamat Kursor Terjemahan (Rebase in Debugger)
• F5 - go
• Alt-F5 - RUN (hanya GDB)
• F10 - Langkah Tunggal
• F11 - Jejak tunggal

Ret-Sync mendefinisikan pintasan global ini di biner ninja:

• Alt-S - Aktifkan Sinkronisasi
• Alt-Shift-S -Nonaktifkan Sinkronisasi

Ikatan atas perintah debugger juga diimplementasikan. Mereka mirip dengan yang dari ekstensi Ida.

• F2 - Set Breakpoint di Alamat Kursor
• Ctrl-F2 - Set Breakpoint Perangkat Keras di Alamat Kursor
• Alt-F3 -Tetapkan breakpoint satu tembakan di alamat kursor
• Ctrl-F3 -Tetapkan breakpoint perangkat keras satu-shot di alamat kursor
• Alt-F2 - Alamat Kursor Terjemahan (Rebase in Debugger)
• Alt-F5 - GO
• F10 - Langkah Tunggal
• F11 - Jejak tunggal

• ! Sinkronisasi : Mulai sinkronisasi
• ! Syncoff : Hentikan sinkronisasi
• ! Synchelp : Tampilkan daftar perintah yang tersedia dengan penjelasan singkat.
• ! cmt [-A alamat] : Tambahkan komentar di IP saat ini di IDA

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57    push    edi

    0:000:x86> dd esp 8
    0028ed94  00000000 00433845 0028eebc 00000032
    0028eda4  0028f88c 00000064 002b049e 00000110

    0:000:x86> !cmt 0028ed94  00000000 00433845 0028eebc 00000032
    [sync.dll]  !cmt called

    [IDA]
    .text:00430DB1    push    edi             ; 0028ed94  00000000 00433845 0028eebc 00000032

• ! rcmt [-A alamat] : Setel ulang komentar di IP saat ini di IDA

    [WinDbg]
    0:000:x86> !rcmt
    [sync] !rcmt called

    [IDA]
    .text:00430DB1    push    edi

• ! fcmt [-A alamat] : Tambahkan komentar fungsi untuk fungsi di mana IP saat ini berada

    [WinDbg]
    0:000:x86> !fcmt decodes buffer with key
    [sync] !fcmt called

    [IDA]
    .text:004012E0 ; decodes buffer with key
    .text:004012E0                 public decrypt_func
    .text:004012E0 decrypt_func    proc near
    .text:004012E0                 push    ebp

Catatan: Memanggil perintah ini tanpa argumen mengatur ulang komentar fungsi.

• ! Raddr : Tambahkan komentar dengan alamat yang disahkan kembali yang dievaluasi dari ekspresi
• ! rln : Dapatkan simbol dari disassembler untuk alamat yang diberikan
• ! lbl [-A alamat] : Tambahkan nama label di IP saat ini di Disassembler

    [WinDbg]
    0:000:x86> !lbl meaningful_label
    [sync] !lbl called

    [IDA]
    .text:000000000040271E meaningful_label:
    .text:000000000040271E    mov     rdx, rsp

• ! cmd : jalankan perintah di windbg dan tambahkan outputnya sebagai komentar di ip saat ini di disassembler

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57     push    edi
    [sync.dll]  !cmd r edi

    [IDA]
    .text:00430DB1    push    edi             ; edi=00000064

• ! bc <|| on | off | atur 0xbbggrr> : Aktifkan/nonaktifkan pewarnaan jalur di disassembler. Ini bukan alat penelusuran kode, ada alat yang efisien untuk itu. Setiap instruksi melangkah secara manual diwarnai dalam grafik. Warnai satu instruksi tunggal di IP saat ini jika dipanggil tanpa argumen. Argumen "Set" digunakan untuk mengatur warna jalur dengan kode RGB hex baru (reset warna jika dipanggil dengan nilai> 0xffffff).
• ! Idblist : Dapatkan daftar semua klien IDB yang terhubung ke Dispatcher:

    [WinDbg]
    0:000> !idblist
    > currently connected idb(s):
        [0] target.exe

• ! Syncmodauto <on | off> : Aktifkan/nonaktifkan Disassembler Auto Switch Berdasarkan Nama Modul:

    [WinDbg]
    0:000> !syncmodauto off

    [IDA]
    [*] << broker << dispatcher msg: sync mode auto set to off

• ! IDBN : Setel IDB aktif ke klien ke -n. n harus menjadi nilai desimal yang valid. Ini adalah mode semi-otomatis (penghargaan pribadi untuk JJ yang luar biasa)

    [WinDbg]
    0:000:> !idbn 0
    > current idb set to 0

Dalam contoh ini, klien IDB aktif saat ini akan diatur ke:

	[0] target.exe.

• ! JMPTO : Ekspresi yang diberikan sebagai argumen dievaluasi dalam konteks status debugger saat ini. Tampilan Disassembler kemudian disinkronkan dengan alamat yang dihasilkan jika modul yang cocok terdaftar. Dapat dilihat sebagai sinkronisasi manual, relokasi secara otomatis dilakukan, dengan cepat. Terutama berguna untuk biner yang dipindahkan secara acak.
• ! JMPraw : Ekspresi yang diberikan sebagai argumen dievaluasi dalam konteks status debugger saat ini. Jika IDB diaktifkan maka pandangan Disassembler disinkronkan dengan alamat yang dihasilkan. Alamat tidak dibebaskan kembali dan tidak ada switching IDB. Terutama berguna untuk kode yang dialokasikan/dihasilkan secara dinamis.
• ! Modmap : modul sintetis ("faked") (ditentukan menggunakan alamat dan ukuran dasarnya) ditambahkan ke daftar internal debugger. Dari MSDN: "Jika semua modul dimuat ulang - misalnya, dengan memanggil muat ulang dengan parameter modul yang diatur ke string kosong - semua modul sintetis akan dibuang." Ini dapat digunakan untuk lebih mudah men -debug kode yang dialokasikan/dihasilkan secara dinamis.
• ! Modunmap : Lepaskan modul sintetis yang dipetakan sebelumnya di alamat dasar.
• ! ModCheck <|| md5> : Gunakan untuk memeriksa apakah modul saat ini benar -benar cocok dengan file IDB (mis: modul telah diperbarui) ketika dipanggil tanpa argumen, GUID PDB dari direktori debug digunakan. Ini dapat menggunakan MD5, tetapi hanya dengan debuggee lokal (tidak dalam debugging kernel jarak jauh).
• ! BPCMDS <|| Simpan | Load |> : Pembungkus BPCMDS , Simpan dan Muat Ulang .BPCMDS (Daftar Perintah Breakpoints) Output ke IDB saat ini. Tampilkan (tetapi tidak dieksekusi) data yang disimpan jika dipanggil tanpa argumen. Penyimpanan persisten dicapai dengan menggunakan fitur NetNode IDA.
• ! KS : Debugger Markup Language (DML) Peningkatan output dari perintah KV . Alamat kode dapat diklik ( ! JMPTO ) serta alamat data ( DC ).
• ! Terjemahan : dimaksudkan untuk digunakan dari IDA (pintasan Alt-F2 ), rebase alamat sehubungan dengan nama dan offset modulnya.

! cmt , ! rcmt dan ! fcmt perintah mendukung opsi alamat opsional: -a atau --address . Alamat harus disahkan sebagai nilai heksadesimal. Parsing perintah didasarkan pada modul argparse Python. Untuk menghentikan penggunaan parsing garis -- .

    [WinDbg]
    0:000:x86> !cmt -a 0x430DB2 comment

Alamat harus berupa alamat instruksi yang valid.

Sinkronisasi dengan host:

    gdb> sync
    [sync] sync is now enabled with host 192.168.52.1
    <not running>

    gdb> r
    Starting program: /bin/ls
    [Thread debugging using libthread_db enabled]
    Using host libthread_db library "/lib/libthread_db.so.1".

Gunakan perintah, tanpa "!" awalan

    (gdb) cmd x/i $pc
    [sync] command output: => 0x8049ca3:    push   edi

    (gdb) synchelp
    [sync] extension commands help:
     > sync <host>
     > syncoff
     > cmt [-a address] <string>
     > rcmt [-a address] <string>
     > fcmt [-a address] <string>
     > cmd <string>
     > bc <on|off|>
     > rln <address>
     > bbt <symbol>
     > patch <addr> <count> <size>
     > bx /i <symbol>
     > cc
     > translate <base> <addr> <mod>

• RLN : Dapatkan simbol dari IDB untuk alamat yang diberikan
• BBT : Backtrace yang indah. Mirip dengan BT tetapi meminta simbol dari Disassembler

    (gdb) bt
    #0  0x0000000000a91a73 in ?? ()
    #1  0x0000000000a6d994 in ?? ()
    #2  0x0000000000a89125 in ?? ()
    #3  0x0000000000a8a574 in ?? ()
    #4  0x000000000044f83b in ?? ()
    #5  0x0000000000000000 in ?? ()
    (gdb) bbt
    #0 0x0000000000a91a73 in IKE_GetAssembledPkt ()
    #1 0x0000000000a6d994 in catcher ()
    #2 0x0000000000a89125 in IKEProcessMsg ()
    #3 0x0000000000a8a574 in IkeDaemon ()
    #4 0x000000000044f83b in sub_44F7D0 ()
    #5 0x0000000000000000 in  ()

• Patch : patch byte di disassembler berdasarkan konteks langsung
• BX : tampilan yang indah. Mirip dengan X tetapi menggunakan simbol. Simbol akan diselesaikan oleh Disassembler.
• CC : Terus kursor di Disassembler. Ini adalah alternatif untuk menggunakan F3 untuk mengatur breakpoint satu-shot dan F5 untuk melanjutkan. Ini berguna jika Anda lebih suka melakukannya dari GDB.

    (gdb) b* 0xA91A73
    Breakpoint 1 at 0xa91a73
    (gdb) c
    Continuing.

    Breakpoint 1, 0x0000000000a91a73 in ?? ()
    (gdb) cc
    [sync] current cursor: 0xa91a7f
    [sync] reached successfully
    (gdb)

1. Sinkronisasi dengan host

    lldb> process launch -s
    lldb> sync
    [sync] connecting to localhost
    [sync] sync is now enabled with host localhost
    [sync] event handler started

2. Gunakan perintah

    lldb> synchelp
    [sync] extension commands help:
     > sync <host>                   = synchronize with <host> or the default value
     > syncoff                       = stop synchronization
     > cmt <string>                  = add comment at current eip in IDA
     > rcmt <string>                 = reset comments at current eip in IDA
     > fcmt <string>                 = add a function comment for 'f = get_func(eip)' in IDA
     > cmd <string>                  = execute command <string> and add its output as comment at current eip in IDA
     > bc <on|off|>                  = enable/disable path coloring in IDA
                                       color a single instruction at current eip if called without argument
    lldb> cmt mooo

1. Gunakan menu atau pintasan plugin untuk mengaktifkan ( Alt+s )/nonaktifkan ( Alt+u ) sinkronisasi.

1. Gunakan menu plugin atau pintasan untuk mengaktifkan ( Ctrl+s )/Disable ( Ctrl+u ) sinkronisasi.

Karena status beta API OllydBG2, hanya fitur -fitur berikut yang telah diimplementasikan:

• Sinkronisasi Grafik [Gunakan F7 ; F8 untuk melangkah]
• Komentar [Gunakan CTRL+; ]
• Label [Gunakan CTRL+: ]

1. Gunakan menu atau perintah Plugins Enable (" !sync" ) atau nonaktifkan (" !syncoff ").

2. Gunakan perintah

 [sync] synchelp command!
[sync] extension commands help:
 > !sync                          = synchronize with <host from conf> or the default value
 > !syncoff                       = stop synchronization
 > !syncmodauto <on | off>        = enable / disable idb auto switch based on module name
 > !synchelp                      = display this help
 > !cmt <string>                  = add comment at current eip in IDA
 > !rcmt <string>                 = reset comments at current eip in IDA
 > !idblist                       = display list of all IDB clients connected to the dispatcher
 > !idb <module name>             = set given module as the active idb (see !idblist)
 > !idbn <n>                      = set active idb to the n_th client. n should be a valid decimal value
 > !translate <base> <addr> <mod> = rebase an address with respect to local module's base

Catatan: Menggunakan perintah ! Translate dari disassembler (IDA/GHIDRA, Alt-F2 Shortcut), akan membuat jendela Disassembler untuk "melompat" ke alamat spesifik (setara dengan menjalankan Disasm di baris perintah x64dBG).

Seseorang mungkin ingin menggunakan fitur inti ret-sinkron (sinkronisasi posisi dengan disassembler, resolusi simbol) meskipun lingkungan debugging penuh tidak tersedia atau dengan alat khusus. Untuk itu, perpustakaan Python minimalis telah diekstraksi.

Contoh di bawah ini menggambarkan penggunaan Perpustakaan Python dengan skrip yang berjalan melalui output dari alat penebangan/penelusuran berbasis acara.

 from sync import *

HOST = '127.0.0.1'

MAPPINGS = [
    [ 0x555555400000 , 0x555555402000 ,  0x2000 , " /bin/tempfile" ],
    [ 0x7ffff7dd3000 , 0x7ffff7dfc000 , 0x29000 , " /lib/x86_64-linux-gnu/ld-2.27.so" ],
    [ 0x7ffff7ff7000 , 0x7ffff7ffb000 ,  0x4000 , " [vvar]" ],
    [ 0x7ffff7ffb000 , 0x7ffff7ffc000 ,  0x1000 , " [vdso]" ],
    [ 0x7ffffffde000 , 0x7ffffffff000 , 0x21000 , " [stack]" ],
]

EVENTS = [
    [ 0x0000555555400e74 , "malloc" ],
    [ 0x0000555555400eb3 , "open" ],
    [ 0x0000555555400ee8 , "exit" ]
]

synctool = Sync ( HOST , MAPPINGS )

for e in EVENTS :
    offset , name = e
    synctool . invoke ( offset )
    print ( "    0x%08x - %s" % ( offset , name ))
    print ( "[>] press enter for next event" )
    input ()

Meskipun awalnya berfokus pada analisis dinamis (debuggers), adalah mungkin untuk memperluas set plugin dan berintegrasi dengan alat lain.

• Integrasi dengan analisis abadi dan debugging platform oleh Tetrane:
  • http://blog.tetrane.com/2015/02/reven-in-your-toolkit.html
  • https://twitter.com/tetrane/status/1374768014193799175
• Integrasi dengan EFI DXE Emulator oleh Assaf Carlsbad (@assaf_carlsbad):
  • https://twitter.com/assaf_carlsbad/status/1242114356881641474
  • https://github.com/assafcarlsbad/efi_dxe_emulator

Sumber Daya Lain:

• " Menggabungkan Analisis Biner Statis dan Dinamis-Ret-Sync " oleh Jean-Christophe Delaunay
  • https://www.synacktiv.com/ressources/bieresecu1_ret-sync_en.pdf

• Tentu.

• Diuji dengan Python 2.7/3.7, IDA 7.7 (Windows, Linux dan Mac OS X), GHIDRA 10.1.1, Biner Ninja 3.0.3225-Dev, GNU GDB (GDB) 8.1.0 (Debian), LLDB 310.2.37.
• Tidak ada otentikasi/enkripsi apa pun di antara para pihak; Anda sendirian.
• Kode Modifikasi Mandiri tidak ada ruang lingkup.

Dengan GDB:

• Tampaknya acara berhenti tidak dipanggil saat menggunakan perintah 'return'.
• Debugging multi-threading memiliki masalah dengan sinyal.

Dengan windbg:

• Plugin klien IDA diberitahu meskipun Breakpoint yang ditemui menggunakan string perintah yang membuatnya berlanjut (' g '). Ini dapat menyebabkan perlambatan besar jika ada terlalu banyak peristiwa ini. Perbaikan terbatas telah diimplementasikan, solusi terbaik masih harus disinkronkan sementara.
• Kemungkinan kondisi balapan

Dengan Ghidra:

• Jalan pintas tidak berfungsi seperti yang diharapkan dalam widget dekompiler.

Dengan Ida:

• Redrawing jendela grafik cukup lambat untuk grafik besar.
• Pintasan Ret-Sync konflik di lingkungan Linux.

Konflik:

• Logitech Updater Software diketahui menggunakan port default yang sama (9100). Solusi adalah menggunakan file konfigurasi .sync global untuk menentukan port yang berbeda.

 [INTERFACE]
host=127.0.0.1
port=9234

Ret-Sync adalah perangkat lunak gratis: Anda dapat mendistribusikannya kembali dan/atau memodifikasinya berdasarkan ketentuan lisensi publik umum GNU seperti yang diterbitkan oleh Free Software Foundation, baik versi 3 lisensi, atau (di opsi Anda) versi selanjutnya.

Program ini didistribusikan dengan harapan akan bermanfaat, tetapi tanpa jaminan apa pun; bahkan tanpa jaminan tersirat dari dapat diperjualbelikan atau kebugaran untuk tujuan tertentu. Lihat Lisensi Publik Umum GNU untuk lebih jelasnya.

Anda seharusnya menerima salinan Lisensi Publik Umum GNU bersama dengan program ini. Jika tidak, lihat http://www.gnu.org/licenses/.

Plugin ninja biner dilepaskan di bawah lisensi MIT.

Hail to Bruce Dang, Stalkr, @Ivanlef0u, Damien Aumaître, Sébastien Renaud dan Kévin Szkudlapski, @ M00dy , @Saidelike, Xavier Mehrenberger, Ben64, Raphaël Rigo, Jiss atas kebaikan, bantuan, dan pemikiran mereka. Ilfak Guilfanov, Igor Skochinsky dan Arnaud Diederen atas bantuan mereka dengan internal Ida dan dukungan luar biasa. Terima kasih kepada Jordan Wiens dan Vector 35. Akhirnya, terima kasih juga untuk semua kontributor dan semua orang yang melaporkan masalah/bug.