ret sync

RET-Sync significa Sincronização de ferramentas de engenharia reversa. É um conjunto de plug -ins que ajudam a sincronizar uma sessão de depuração (Windbg/GDB/LLDB/Ollydbg/ollydbg2/x64dbg) com um desmontador (Ida/Ghidra/Ninja binário). A idéia subjacente é simples: tome o melhor dos dois mundos (análise estática e dinâmica).

Debuggers e análise dinâmica nos fornecem:

• visão local, com contexto dinâmico ao vivo (registros, memória, etc. )
• Recursos especializados embutidos/API (Ex: Windbg's !peb , !drvobj !address ,!

Desmontadores e análise estática nos fornecem:

• Vista macro sobre módulos
• Análise de código, assinaturas, tipos, etc.
• Vista de gráfico extravagante
• decompilação
• armazenamento persistente de conhecimento dentro de BIDs/GPRs

Principais recursos:

• Sincronize visualizações de gráfico e descompilação com o estado do depurador
• Não há necessidade de lidar com o ASLR, os endereços são rejeitados
• Passe dados (comentários, saída de comando) do depurador para desmontagem
• Vários IDBs/GPRs podem ser sincronizados ao mesmo tempo, permitindo rastrear facilmente através de vários módulos
• Desmontingbler e Depurger podem estar em diferentes hosts / VMs

RET-Sync é um garfo de QB-Sync que eu desenvolvi e mantive durante a minha estadia no Quarkslab.

• Conteúdo do repositório
• Pré -requisitos gerais
• Liberação binária
• Configuração do RET-Sync
• Instalação
  • Extensão da IDA
  • Extensão de Ghidra
  • Extensão binária ninja
  • Extensão do vento
  • Instalação do GNU GDB (GDB)
  • Instalação do LLDB
  • Instalação Ollydbg 1.10
  • Instalação Ollydbg2
  • X64DBG Instalação
• Uso
  • comandos de depurador ret-sync
  • Uso da IDA
  • Uso de Ghidra
  • Uso binário ninja
  • Uso do Windbg
  • GNU GDB (GDB) Uso
  • Uso do LLDB
  • OLLYDBG 1.10 Uso
  • Uso de Ollydbg2
  • X64DBG Uso
  • Uso da biblioteca Python
• Estender
• PENDÊNCIA
• Bugs/limitações conhecidos
• Licença
• Greetz

Os plugins do depurador:

• ext_windbg/sync : Windbg Extension Source Arquins, uma vez construído: sync.dll
• ext_gdb/sync.py : plugin GDB
• ext_lldb/sync.py : plugin lldb
• ext_olly1 : plugin ollydbg 1.10
• ext_olly2 : plugin ollydbg v2
• ext_x64dbg : x64dbg plugin

Os plugins desmontadores:

• ext_ida/SyncPlugin.py
• ext_ghidra/dist/ghidra_*_retsync.zip : plugin ghidra
• ext_bn/retsync : plugin binário ninja

E o plugin da biblioteca:

• ext_lib/sync.py : Biblioteca Python independente

Os plugins IDA e GDB requerem uma configuração Python válida. Python 2 (> = 2,7) e Python 3 são suportados.

Os binários pré-criados para os depuradores Windbg/Ollydbg/ollydbg2/x64dbg são propostos através de um pipeline Azure DevOps :

Selecione a última construção e verifique os artefatos na seção Related : 6 published .

Um arquivo de plug-in pré-construído do plug-in ghidra é fornecido em ext_ghidra/dist .

O RET-Sync deve funcionar fora da caixa para a maioria dos usuários com uma configuração típica: depurador e desmontagem (s) no mesmo host, nomes de módulos correspondentes.

Ainda assim, em alguns cenários, uma configuração específica pode ser usada. Para isso, extensões e plugins verifiquem um arquivo de configuração global opcional chamado .sync no diretório inicial do usuário. Deve ser um arquivo .INI válido.

Além disso, os plug-ins IDA e Ghidra também procuram o arquivo de configuração no Diretório de IDB ou Projeto ( <project>.rep ) primeiro para permitir configurações locais, por IDB/projeto. Se um arquivo de configuração local estiver presente, o arquivo de configuração global será ignorado.

Os valores declarados nesses arquivos de configuração substituem os valores padrão. Observe que não o arquivo .sync é criado por padrão.

Abaixo, detalhamos, três cenários comuns em que um arquivo de configuração é útil/necessário:

• Depuração remota
• Módulos nomes de incompatibilidade
• PID ausente

A seção [INTERFACE] é usada para personalizar configurações relacionadas à rede. Suponhamos que se queira sincronizar a IDA com um depurador em uma máquina virtual (ou simplesmente outro host), cenário de depuração do kernel remoto comum.

Simplesmente crie dois .sync File:

• Um na máquina onde a IDA é instalada, no diretório do IDB:
• Para Ghidra, Local em Diretório Home, Ex. "/Home/Usuário" ou "C: Users User".

 [INTERFACE]
host=192.168.128.1
port=9234

Ele informa ao plug-in RET-Sync IDA ouvir na interface 192.168.128.1 com a porta 9234 . Escusado será dizer que essa interface deve ser acessível a partir do host remoto ou da máquina virtual.

• Um na máquina em que o depurador é executado, no diretório inicial do usuário:

 [INTERFACE]
host=192.168.128.1
port=9234

Ele informa ao plug-in Ret-Sync Debugger para conectar-se ao plug-in Ret-Sync IDA configurado anteriormente para ouvir nessa interface.

Nota: Você deve especificar um IP real aqui e não usar 0.0.0.0 . Isso ocorre porque a variável é usada por várias fontes para ligação e conexão; portanto, o uso de 0.0.0.0 resultará em erros estranhos.

 [ALIASES]
ntoskrnl_vuln.exe=ntkrnlmp.exe

A seção [ALIASES] é usada para personalizar o nome que é usado por um desmontador (IDA/ghidra) para registrar um módulo no seu despachante/gerenciador de programas.

Por padrão, os plugins desmontadores usam o nome do arquivo de entrada. No entanto, pode -se ter renomeado o arquivo com antecedência e ele não corresponde mais ao nome do processo real ou do módulo carregado, como visto pelo depurador.

Aqui, simplesmente dizemos ao despachante para corresponder ao nome ntkrnlmp.exe (nome real) em vez de ntoskrnl_vuln.exe (nome do IDB).

O front -end de depuração do Criador QT muda a maneira como a saída do comando GDB é registrada. Como isso interferiria na sincronização, existe uma opção para usar a saída GDB bruta para sincronização em vez de um arquivo temporário. No .Sync Configuration File Use

 [GENERAL]
use_tmp_logging_file=false

Se você deseja usar o Frontend de depuração do QT para o alvo.

Em alguns cenários, como depurar dispositivos incorporados sobre firmware serial ou bruto no Qemu, o GDB não está ciente do PID e não pode acessar /proc/<pid>/maps .

Nesses casos, a seção [INIT] é usada para passar um contexto personalizado para o plug -in. Permite substituir alguns campos, como os mapeamentos de PID e memória.

.sync Content Extract:

 [INIT]
context = {
      "pid": 200,
      "mappings": [ [0x400000, 0x7A81158, 0x7681158, "asav941-200.qcow2|lina"] ]
  }

Cada entrada nos mapeamentos é: mem_base , mem_end , mem_size , mem_name .

Em alguns cenários, como depuração de dispositivos incorporados ou conexão com interfaces de depuração minimalista, pode ser mais conveniente ignorar o recurso de rebase de endereço automático implementado nos plugins desmontadores.

A opção use_raw_addr é atualmente suportada apenas para Ghidra. No .Sync Configuration File Use:

 [GENERAL]
use_raw_addr=true

A ramificação IDA 7.x é necessária. Para versões mais antigas (6.9x), consulte a liberação arquivada ida6.9x .

Para instalação da IDA, copie a pasta Syncplugin.py e retsync do diretório de plug -ins ext_ida para IDA, por exemplo:

• C:Program FilesIDA Pro 7.4plugins
• %APPDATA%Hex-RaysIDA Proplugins
• ~/.idapro/plugins

1. IDB aberto
2. Execute o plugin em IDA ( Alt-Shift-S ) ou Edit > Plugins > ret-sync

 [sync] default idb name: ld.exe
[sync] sync enabled
[sync] cmdline: "C:Program FilesPython38python.exe" -u "C:UsersuserAppDataRoamingHex-RaysIDA Propluginsretsyncbroker.py" --idb "target.exe"
[sync] module base 0x100400000
[sync] hexrays #7.3.0.190614 found
[sync] broker started
[sync] plugin loaded
[sync] << broker << dispatcher not found, trying to run it
[sync] << broker << dispatcher now runs with pid: 6544
[sync] << broker << connected to dispatcher
[sync] << broker << listening on port 63107

Para solucionar problemas com a extensão da IDA, duas opções estão disponíveis no arquivo retsync/rsconfig.py :

 LOG_LEVEL = logging.INFO
LOG_TO_FILE_ENABLE = False

Configurar LOG_LEVEL Value para logging.DEBUG torna o plug -in mais detalhado.

Configurar LOG_TO_FILE_ENABLE Value como True aciona o registro das informações de exceção de broker.py e dispatcher.py em arquivos dedicados. O arquivo de log é gerado na pasta %TMP% com um padrão de nome retsync.%s.err .

Use a versão pré-criada na pasta ext_ghidra/dist ou siga as instruções para construí-la. Cada compilação de extensão suporta apenas a versão do ghidra especificada no nome do arquivo do plug -in. Por exemplo, ghidra_9.1_PUBLIC_20191104_retsync.zip é para ghidra 9.1 público.

1. Instale Ghidra
2. Instale o gradle

apt install gradle

3. Construa extensão para sua instalação Ghidra (substitua $GHIDRA_DIR pelo seu diretório de instalação)

 cd ext_ghidra
gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR

1. Do Ghidra Projects Manager: File -> Install Extensions... , clique no sinal + e selecione o ext_ghidra/dist/ghidra_*_retsync.zip e clique em OK. Isso extrairá efetivamente a pasta retsync do zip para $GHIDRA_DIR/Extensions/Ghidra/
2. Reiniciar ghidra conforme solicitado
3. Depois de recarregar Ghidra, abra um módulo no código -cérebro. Ele deve dizer que um novo plug -in de extensão foi detectado. Selecione "Sim" para configurá -lo. Em seguida, marque "retsyncplugin" e clique em OK. O console deve mostrar algo como:

 [*] retsync init
[>] programOpened: tm.sys
    imageBase: 0x1c0000000

4. Da ferramenta Ghidra CodeBrowser: use ícones ou atalhos da barra de ferramentas para ativar ( Alt+s )/desativar ( Alt+Shift+s )/reiniciar ( Alt+r ) sincronização.

Uma janela de status também está disponível no Windows -> RetSyncPlugin . Você geralmente deseja deixá -lo de lado para integrá -lo às janelas do ambiente Ghidra.

O suporte binário do Ninja é experimental, certifique -se de fazer backup de seus bancos de dados de análise.

O RET-Sync requer o Ninja Binária versão 2.2 no mínimo, bem como o Python 3 (o Python 2 não é suportado).

O RET-Sync ainda não foi distribuído pelo gerenciador de plug-in do Ninja binário; Uma instalação manual é necessária. Basta copiar esse conteúdo da pasta ext_bn na pasta plug -ins do Ninja binário, por exemplo:

%APPDATA%Binary Ninjaplugins

Depois de reiniciar o ninja binário, a seguinte saída deve estar presente na janela do console:

 [sync] commands added
Loaded python3 plugin 'retsync'

Use binários pré-construídos ou use a solução Visual Studio 2017 fornecida em ext_windbg (consulte https://docs.microsoft.com/en-us/visualstudio/releasenotes/vs2017-relnotes, se necessário).

Isso criará o arquivo x64releasesync.dll .

Você precisará copiar o arquivo sync.dll resultante no caminho de extensão Windbg apropriado.

• Windbg Classic:

Para versões anteriores do windbg, isso é algo assim (tenha cuidado com os sabores x86 / x64 ), por exemplo

C:Program Files (x86)Windows Kits10Debuggersx64winextsync.dll

• Visualização do Windbg

A pasta para armazenar extensão parece ser baseada no caminho, então você precisa colocá -lo em um dos locais consultados.

Um exemplo é colocá -lo aqui:

C:UsersuserAppDataLocalMicrosoftWindowsAppssync.dll

1. Lançar Windbg no alvo
2. Extensão de carga (comando .load )

    0:000> .load sync
    [sync.dll] DebugExtensionInitialize, ExtensionApis loaded

3. SYNC WINDBG

      0:000> !sync
      [sync] No argument found, using default host (127.0.0.1:9100)
      [sync] sync success, sock 0x5a8
      [sync] probing sync
      [sync] sync is now enabled with host 127.0.0.1

Por exemplo, na janela de saída de Ida

      [*] << broker << dispatcher msg: add new client (listening on port 63898), nb client(s): 1
      [*] << broker << dispatcher msg: new debugger client: dbg connect - HostMachineHostUser
      [sync] set debugger dialect to windbg, enabling hotkeys

Se o módulo atual do Windbg corresponder ao nome do arquivo IDA

      [sync] idb is enabled with the idb client matching the module name.

Nota: Se você receber o seguinte erro, é porque você não copiou o arquivo para a pasta correta nas etapas acima.

 0: kd> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n2
    "The system cannot find the file specified."
Please check your debugger configuration and/or network access.

O erro abaixo geralmente significa que o Windbg tentou carregar o sabor incorreto da extensão, ex: x64 no lugar do x86 sync.dll .

 0:000> .load sync
The call to LoadLibrary(sync) failed, Win32 error 0n193
    "%1 is not a valid Win32 application."
Please check your debugger configuration and/or network access.

Como a visualização do Windbg carrega os dois plugins ( x86 e x64 ) do mesmo diretório, pode -se renomear o arquivo x86 sync32.dll .

 0:000> .load sync32

1. Copie o ext_gdb/sync.py para o diretório de sua escolha
2. Carregue a extensão (consulte scripts de carga automática)

    gdb> source sync.py
    [sync] configuration file loaded 192.168.52.1:9100
    [sync] commands added

O suporte do LLDB é experimental, no entanto:

1. Extensão de carga (também pode ser adicionada em ~/.lldbinit )

    lldb> command script import sync

O suporte de Ollydbg 1.10 é experimental, no entanto:

1. Construa o plug-in usando a solução VS (opcional, consulte Binários pré-construídos)
2. Copie a DLL no diretório de plug -in da Ollydbg

No entanto, o suporte a ollydbg2 é experimental:

1. Construa o plug-in usando a solução VS (opcional, consulte Binários pré-construídos)
2. Copie a DLL no diretório de plug -in do OllyDBG2

Com base no testplugin, https://github.com/x64dbg/testplugin. O suporte x64dbg é experimental, no entanto:

1. Crie o plug-in usando a solução VS (opcional, consulte binários pré-construídos). Que você precise de uma versão diferente do plugin SDK, uma cópia pode ser encontrada em cada versão do X64DBG. Cole o diretório " pluginsdk " em " ext_x64dbgx64dbg_sync "
2. Copie a DLL (extensão é .d32 ou .dp64 ) dentro do diretório de plug -in do X64DBG.

Para depuradores orientados para a linha de comando (principalmente windbg e gdb), um conjunto de comandos é exposto pelo RET-Sync para ajudar na tarefa de engenharia reversa.

Os comandos abaixo são genéricos (WindBG e GDB), observe que A ! O prefixo é necessário no WindBG (por exemplo: sync no GDB !sync

Comandos específicos do Windbg:

Comandos específicos do GDB:

O campo de entrada Overwrite idb name deve alterar o nome do IDB padrão. É o nome usado pelo plug -in para se registrar no despachante. O interruptor automático do IDB é baseado na correspondência do nome do módulo. No caso de nomes conflitantes (como um foo.exe e foo.dll ), isso pode ser usado para facilitar a correspondência. Observe que, se você modificar o campo de entrada enquanto a sincronização estiver ativa, precisará se registrar novamente com o despachante; Isso pode ser feito simplesmente usando o botão " Restart ".

Como lembrete, é possível alias por padrão usando o arquivo de configuração .sync .

RET-Sync define esses atalhos globais em Ida:

• Alt-Shift-S -Execute o plug-in Ret-Sync
• Ctrl-Shift-S -TOLGLE GLOBAL SYNING
• Ctrl-H -Alternar os raios hexáticos sincronizados

Dois botões também estão disponíveis na barra de ferramentas de depuração para alternar a sincronização global e hexadecimal.

Syncplugin.py também registra HotSkeys Wrapper Command Wrapper.

• F2 - Defina ponto de interrupção no endereço do cursor
• F3 - Defina um ponto de interrupção de um tiro no endereço do cursor
• Ctrl-F2 - Definir ponto de interrupção do hardware no endereço do cursor
• Ctrl-F3 -Defina o ponto de interrupção de hardware de um tiro no endereço do cursor
• Alt-F2 - TRANSTOR (Rebase in Debugger) Endereço do cursor atual
• Alt-F5 - Vá
• Ctrl-Alt-F5 -Run (somente GDB)
• F10 - Etapa única
• F11 - Rastreio único

Esses comandos estão disponíveis apenas quando o IDB atual está ativo. Quando possível, eles também foram implementados para outros depuradores.

Depois que a retsyncplugin foi aberta, você poderá adicioná -la à janela Codebrowser by Simple Drag'n'drop:

Se você deseja visualizar vários módulos, os arquivos precisam estar abertos no mesmo visualizador de código de código, basta arrastar os adicionais na janela Codebrowser para obter o resultado como acima.

RET-Sync define esses atalhos globais em Ghidra:

• Alt-S - Ativar sincronização
• Alt-Shift-S -Desativar sincronizar
• Alt-R - Reiniciar a sincronização
• Alt-Shift-R -Recarregar Configuração

As ligações sobre os comandos do depurador também são implementadas. Eles são semelhantes aos da extensão da IDA (exceto o comando "Go").

• F2 - Defina ponto de interrupção no endereço do cursor
• Ctrl-F2 - Definir ponto de interrupção do hardware no endereço do cursor
• Alt-F3 -Defina um ponto de interrupção de um tiro no endereço do cursor
• Ctrl-F3 -Defina o ponto de interrupção de hardware de um tiro no endereço do cursor
• Alt-F2 - TRANSTOR (Rebase in Debugger) Endereço do cursor atual
• F5 - Vá
• Alt-F5 - RUN (apenas GDB)
• F10 - Etapa única
• F11 - Rastreio único

RET-Sync define esses atalhos globais no ninja binário:

• Alt-S - Ativar sincronização
• Alt-Shift-S -Desativar sincronizar

As ligações sobre os comandos do depurador também são implementadas. Eles são semelhantes aos da extensão de Ida.

• F2 - Defina ponto de interrupção no endereço do cursor
• Ctrl-F2 - Definir ponto de interrupção do hardware no endereço do cursor
• Alt-F3 -Defina um ponto de interrupção de um tiro no endereço do cursor
• Ctrl-F3 -Defina o ponto de interrupção de hardware de um tiro no endereço do cursor
• Alt-F2 - TRANSTOR (Rebase in Debugger) Endereço do cursor atual
• Alt-F5 - Vá
• F10 - Etapa única
• F11 - Rastreio único

• ! SYNC : Inicie a sincronização
• ! Syncoff : Stop Sincronization
• ! Synchelp : Exiba a lista de comandos disponíveis com explicação curta.
• ! cmt [-a endereço] : adicione comentário no IP atual em IDA

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57    push    edi

    0:000:x86> dd esp 8
    0028ed94  00000000 00433845 0028eebc 00000032
    0028eda4  0028f88c 00000064 002b049e 00000110

    0:000:x86> !cmt 0028ed94  00000000 00433845 0028eebc 00000032
    [sync.dll]  !cmt called

    [IDA]
    .text:00430DB1    push    edi             ; 0028ed94  00000000 00433845 0028eebc 00000032

• ! rcmt [-a endereço] : Redefinir comentário no IP atual em Ida

    [WinDbg]
    0:000:x86> !rcmt
    [sync] !rcmt called

    [IDA]
    .text:00430DB1    push    edi

• ! fcmt [-a endereço] : adicione um comentário de função para função em que o IP atual está localizado

    [WinDbg]
    0:000:x86> !fcmt decodes buffer with key
    [sync] !fcmt called

    [IDA]
    .text:004012E0 ; decodes buffer with key
    .text:004012E0                 public decrypt_func
    .text:004012E0 decrypt_func    proc near
    .text:004012E0                 push    ebp

Nota: Chamando este comando sem argumento redefinir o comentário da função.

• ! Raddr : Adicione um comentário com o endereço rebocado avaliado da expressão
• ! rln : Obtenha símbolo do desmontador para o endereço fornecido
• ! lbl [-a endereço] : Adicione um nome de etiqueta no IP atual em desmontagem

    [WinDbg]
    0:000:x86> !lbl meaningful_label
    [sync] !lbl called

    [IDA]
    .text:000000000040271E meaningful_label:
    .text:000000000040271E    mov     rdx, rsp

• ! cmd : execute um comando no windbg e adicione sua saída como comentário no IP atual em desmontagem

    [WinDbg]
    0:000:x86> pr
    eax=00000032 ebx=00000032 ecx=00000032 edx=0028eebc esi=00000032 edi=00000064
    eip=00430db1 esp=0028ed94 ebp=00000000 iopl=0         nv up ei pl nz na po nc
    cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
    image00000000_00400000+0x30db1:
    00430db1 57     push    edi
    [sync.dll]  !cmd r edi

    [IDA]
    .text:00430DB1    push    edi             ; edi=00000064

• ! BC <|| ON | OFF | SET 0XBBGGRR> : Ativar/desativar o caminho colorindo em desmontagem. Esta não é uma ferramenta de rastreamento de código, existem ferramentas eficientes para isso. Cada instrução manualmente escalonada é colorida no gráfico. Colorir uma única instrução no IP atual se chamado sem argumento. O argumento "set" é usado para definir a cor do caminho com um novo código rgb hexadecimal (redefinir a cor se chamado com um valor> 0xfffffffff).
• ! IDBLIST : Obtenha a lista de todos os clientes do BID conectados ao despachante:

    [WinDbg]
    0:000> !idblist
    > currently connected idb(s):
        [0] target.exe

• ! syncmodauto <on | off> : ativar/desativar o interruptor automático desmontador com base no nome do módulo:

    [WinDbg]
    0:000> !syncmodauto off

    [IDA]
    [*] << broker << dispatcher msg: sync mode auto set to off

• ! IDBN : Defina o IDB ativo para o enésimo cliente. n deve ser um valor decimal válido. Este é um modo semi-automático (homenagem pessoal ao tremendo JJ)

    [WinDbg]
    0:000:> !idbn 0
    > current idb set to 0

Neste exemplo, o cliente atual do IDB ativo teria sido definido como:

	[0] target.exe.

• ! JMPTO : A expressão dada como argumento é avaliada no contexto do status do depurador atual. A visão do desmontador é sincronizada com o endereço resultante se um módulo correspondente for registrado. Pode ser visto como uma sincronização manual, a realocação é executada automaticamente em tempo real. Especialmente útil para o binário aleatoriamente realocado.
• ! JMPraw : A expressão dada como argumento é avaliada no contexto do status do depurador atual. Se um BID estiver ativado, a visão do desmontador será sincronizada com o endereço resultante. O endereço não é rebocado e não há comutação de BID. Especialmente útil para código alocado/gerado dinamicamente.
• ! ModMap : Um módulo sintético ("Faked") (definido usando seu endereço e tamanho base) é adicionado à lista interna do depurador. De MSDN: "Se todos os módulos forem recarregados - por exemplo, ligando para recarregar com o parâmetro do módulo definido para uma string vazia - todos os módulos sintéticos serão descartados." Pode ser usado para depurar mais facilmente o código alocado/gerado dinamicamente.
• ! Modunmap : Remova um módulo sintético mapeado anteriormente no endereço base.
• ! ModCheck <|| md5> : Use para verificar se o módulo atual realmente corresponde ao arquivo do IDB (ex: o módulo foi atualizado) quando chamado sem argumento, o diretório GUID do PDB do Diretório de Debug é usado. Como alternativa, ele pode usar o MD5, mas apenas com um depuração local (não em depuração remota do kernel).
• ! bpcmds <|| salvar | carregar |> : wrapper bpcmds , salvar e recarregar .bpcmds (lista de comandos de pontos de interrupção) Saída no IDB atual. Exibir (mas não executar) os dados salvaram se chamados sem argumento. O armazenamento persistente é alcançado usando o recurso NetNode da IDA.
• ! KS : DML (DML) Saída aprimorada do comando KV . Os endereços de código são clicáveis ​​( ! JMPTO ), bem como endereços de dados ( DC ).
• ! Traduzir : Destinado a ser usado na IDA (atalho Alt-F2 ), rebate um endereço em relação ao nome e deslocamento do módulo.

! CMT ,! RCMT e ! Comandos FCMT suportam uma opção de endereço opcional: -a ou --address . O endereço deve ser aprovado como um valor hexadecimal. A análise de comando é baseada no módulo argparse do Python. Para interromper o uso da análise de linha -- .

    [WinDbg]
    0:000:x86> !cmt -a 0x430DB2 comment

O endereço deve ser o endereço de uma instrução válida.

Sincronizar com o host:

    gdb> sync
    [sync] sync is now enabled with host 192.168.52.1
    <not running>

    gdb> r
    Starting program: /bin/ls
    [Thread debugging using libthread_db enabled]
    Using host libthread_db library "/lib/libthread_db.so.1".

Use comandos, sem "!" prefixo

    (gdb) cmd x/i $pc
    [sync] command output: => 0x8049ca3:    push   edi

    (gdb) synchelp
    [sync] extension commands help:
     > sync <host>
     > syncoff
     > cmt [-a address] <string>
     > rcmt [-a address] <string>
     > fcmt [-a address] <string>
     > cmd <string>
     > bc <on|off|>
     > rln <address>
     > bbt <symbol>
     > patch <addr> <count> <size>
     > bx /i <symbol>
     > cc
     > translate <base> <addr> <mod>

• RLN : Obtenha símbolo do BID para o endereço fornecido
• BBT : Bela backtrace. Semelhante ao BT , mas solicita símbolos do desmontagem

    (gdb) bt
    #0  0x0000000000a91a73 in ?? ()
    #1  0x0000000000a6d994 in ?? ()
    #2  0x0000000000a89125 in ?? ()
    #3  0x0000000000a8a574 in ?? ()
    #4  0x000000000044f83b in ?? ()
    #5  0x0000000000000000 in ?? ()
    (gdb) bbt
    #0 0x0000000000a91a73 in IKE_GetAssembledPkt ()
    #1 0x0000000000a6d994 in catcher ()
    #2 0x0000000000a89125 in IKEProcessMsg ()
    #3 0x0000000000a8a574 in IkeDaemon ()
    #4 0x000000000044f83b in sub_44F7D0 ()
    #5 0x0000000000000000 in  ()

• Patch : patch bytes no desmontador baseado no contexto ao vivo
• BX : Linda exibição. Semelhante a x , mas usando um símbolo. O símbolo será resolvido pelo desmontador.
• CC : Continue a cursor em desmontagem. Esta é uma alternativa ao uso F3 para definir um ponto de interrupção de um tiro e F5 para continuar. Isso é útil se você preferir fazê -lo no GDB.

    (gdb) b* 0xA91A73
    Breakpoint 1 at 0xa91a73
    (gdb) c
    Continuing.

    Breakpoint 1, 0x0000000000a91a73 in ?? ()
    (gdb) cc
    [sync] current cursor: 0xa91a7f
    [sync] reached successfully
    (gdb)

1. Sincronização com host

    lldb> process launch -s
    lldb> sync
    [sync] connecting to localhost
    [sync] sync is now enabled with host localhost
    [sync] event handler started

2. Use comandos

    lldb> synchelp
    [sync] extension commands help:
     > sync <host>                   = synchronize with <host> or the default value
     > syncoff                       = stop synchronization
     > cmt <string>                  = add comment at current eip in IDA
     > rcmt <string>                 = reset comments at current eip in IDA
     > fcmt <string>                 = add a function comment for 'f = get_func(eip)' in IDA
     > cmd <string>                  = execute command <string> and add its output as comment at current eip in IDA
     > bc <on|off|>                  = enable/disable path coloring in IDA
                                       color a single instruction at current eip if called without argument
    lldb> cmt mooo

1. Use o menu Plugins ou atalhos para ativar ( Alt+s )/desativar ( Alt+u ) Sincronização.

1. Use o menu Plugins ou atalhos para ativar ( Ctrl+s )/desativar a sincronização ( Ctrl+u ).

Devido ao status beta da API Ollydbg2, apenas os seguintes recursos foram implementados:

• Sincronizar gráfico [use F7 ; F8 para pisar]
• Comentário [use CTRL+; ]
• Rótulo [Use CTRL+: ]

1. Use o menu Plugins ou comandos Atable (" !sync" ) ou desativar (" !syncoff ") Sincronização.

2. Use comandos

 [sync] synchelp command!
[sync] extension commands help:
 > !sync                          = synchronize with <host from conf> or the default value
 > !syncoff                       = stop synchronization
 > !syncmodauto <on | off>        = enable / disable idb auto switch based on module name
 > !synchelp                      = display this help
 > !cmt <string>                  = add comment at current eip in IDA
 > !rcmt <string>                 = reset comments at current eip in IDA
 > !idblist                       = display list of all IDB clients connected to the dispatcher
 > !idb <module name>             = set given module as the active idb (see !idblist)
 > !idbn <n>                      = set active idb to the n_th client. n should be a valid decimal value
 > !translate <base> <addr> <mod> = rebase an address with respect to local module's base

Nota: Usando o comando ! Translate de um desmontador (IDA/ghidra, atalho Alt-F2 ), fará com que a janela desmontadora "pular" para o endereço específico (equivalente à execução da Disasm na linha de comando x64dbg).

Pode-se querer usar os recursos do núcleo RET-Sync (sincronização de posição com uma resolução de símbolos desmontadores), mesmo que um ambiente de depuração completo não esteja disponível ou com uma ferramenta personalizada. Para esse fim, uma biblioteca minimalista de Python foi extraída.

O exemplo abaixo ilustra o uso da biblioteca Python com um script que percorre a saída de uma ferramenta de log/rastreamento baseada em eventos.

 from sync import *

HOST = '127.0.0.1'

MAPPINGS = [
    [ 0x555555400000 , 0x555555402000 ,  0x2000 , " /bin/tempfile" ],
    [ 0x7ffff7dd3000 , 0x7ffff7dfc000 , 0x29000 , " /lib/x86_64-linux-gnu/ld-2.27.so" ],
    [ 0x7ffff7ff7000 , 0x7ffff7ffb000 ,  0x4000 , " [vvar]" ],
    [ 0x7ffff7ffb000 , 0x7ffff7ffc000 ,  0x1000 , " [vdso]" ],
    [ 0x7ffffffde000 , 0x7ffffffff000 , 0x21000 , " [stack]" ],
]

EVENTS = [
    [ 0x0000555555400e74 , "malloc" ],
    [ 0x0000555555400eb3 , "open" ],
    [ 0x0000555555400ee8 , "exit" ]
]

synctool = Sync ( HOST , MAPPINGS )

for e in EVENTS :
    offset , name = e
    synctool . invoke ( offset )
    print ( "    0x%08x - %s" % ( offset , name ))
    print ( "[>] press enter for next event" )
    input ()

Embora inicialmente focado na análise dinâmica (depuradores), é claro que é possível estender o conjunto de plugins e integrar-se a outras ferramentas.

• Integração com a REVEN Análise atemporal e plataforma de depuração por tetrane:
  • http://blog.tetrane.com/2015/02/reven-in-your-toolkit.html
  • https://twitter.com/tetrane/status/1374768014193799175
• Integração com EFI DXE emulador por Assaf Carlsbad (@ASSAF_CARLSBAD):
  • https://twitter.com/assaf_carlsbad/status/1242114356881641474
  • https://github.com/assafcarlsbad/efi_dxe_emulator

Outros recursos:

• " Combinando análise binária estática e dinâmica-ret-sync ", de Jean-Christophe Delaunay
  • https://www.synacktiv.com/ressources/biesesecu1_ret-sync_en.pdf

• Claro.

• Testado com Python 2.7/3.7, IDA 7.7 (Windows, Linux e Mac OS X), Ghidra 10.1.1, binário Ninja 3.0.3225-DEV, GNU GDB (GDB) 8.1.0 (Debian), LLDB 310.2.37.
• Não há autenticação/criptografia entre as partes; Você está sozinho.
• O código de auto -modificação está fora de escopo.

Com GDB:

• Parece que o evento de parada não é chamado ao usar o comando 'return'.
• A depuração multi-threading tem problemas com sinais.

Com Windbg:

• O plug -in do cliente da Ida é notificado, embora o ponto de interrupção encontrado use uma sequência de comando que o faça continuar (' g '). Isso pode causar uma grande desaceleração se houver muito desses eventos. Uma correção limitada foi implementada, a melhor solução ainda é sincronizar temporariamente.
• Possível condição de corrida

Com ghidra:

• Os atalhos não estão funcionando como esperado no widget Decompiler.

Com Ida:

• O redesenho da janela do gráfico é bastante lento para grandes gráficos.
• Atendimentos de atalhos retirados em ambientes Linux.

Conflitos:

• Sabe -se que o software Logitech Updater usa a mesma porta padrão (9100). Uma solução é usar um arquivo de configuração .sync global para definir uma porta diferente.

 [INTERFACE]
host=127.0.0.1
port=9234

RET-SYNC é um software gratuito: você pode redistribuí-lo e/ou modificá-lo nos termos da licença pública geral da GNU, conforme publicado pela Free Software Foundation, versão 3 da licença ou (por sua opção) qualquer versão posterior.

Este programa é distribuído na esperança de que seja útil, mas sem garantia; sem a garantia implícita de comercialização ou aptidão para uma finalidade específica. Veja a licença pública geral da GNU para obter mais detalhes.

Você deveria ter recebido uma cópia da licença pública geral da GNU junto com este programa. Caso contrário, consulte http://www.gnu.org/license/.

O plugin binário ninja é liberado sob a licença do MIT.

Saudes de Bruce Dang, Stalkr, @Ivanlef0u, Damien Aumaître, Sébastien Renaud e Kévin Szkudlapski, @ M00DY , @Saidelike, Xavier Mehrenberger, Ben64, Raphaël Rigo, Jiss por sua bondade, ajuda, feedbacks e pensamentos. Ilfak Guilfanov, Igor Skochinsky e Arnaud Dieren por sua ajuda com os internos e o excelente apoio de Ida. Obrigado a Jordan Wiens e Vector 35. Finalmente, obrigado também a todos os colaboradores e a todos que relataram problemas/bugs.