OllyDbg是一款用户模式调试器,主要用于针对用户应用程序的动态调试。它提供了许多强大的功能和窗口,以帮助分析和理解程序的运行过程。下面是OllyDbg中常见的操作窗口:
-
寄存器窗口:显示CPU寄存器的内容,包括通用寄存器、段寄存器、控制寄存器等。
-
标识符窗口:显示程序中定义的变量、函数、结构体、常量等标识符的列表。
-
内存窗口:用于查看程序的内存空间。
-
反汇编窗口:显示程序在内存中的反汇编代码,可用于查看程序的执行流程。
-
堆栈窗口:用于查看程序堆栈的状态,包括当前栈指针、栈中的函数调用关系等。
-
断点窗口:可以设置断点、条件断点、硬件断点,用于调试和跟踪程序执行过程中的特定位置。
-
导入表窗口:列出了程序依赖的DLL库及其函数。
-
日志窗口:记录了程序执行时的各种事件、异常等信息,可用于分析程序错误和异常。
以上是OllyDbg中较为常用的几个窗口,通过这些窗口可以对程序进行分析、调试和修改。当然,不同的调试器可能有不同的窗口和功能,需要根据实际需要进行选择和使用。
7.Ghidra还可以对数据,区段,函数进行管理,例如这里可以直接查看DOS头文件,不需要借助其他工具。
1.哪个工具简单好用就用哪个,目前对小菜鸟而言,还是IDA香,主要是用得久,知道的功能多,也熟悉。
2.Ghidra作为开源工具,功能丰富,也有一定的优点,加载速度好像没用IDA快,可能是读取的内容太多了。
3.至于为什么自己写了那样一段代码,还不是前天10进制转16进制用c没写出来,当时用java操作的,这次就当巩固C知识了。
伯克利包过滤器(Berkeley Packet Filter)是一个 Linux kernel 中用以对来自于链路层的数据包进行过滤的架构,其位于内核中的架构如下图所示:
相比起传统的数据包过滤器而言,BPF 在内核中实现了一个新的虚拟机设计,通过即时编译(Just-In-Time compilation)技术将 BPF 指令翻译为 BPF 虚拟机的字节码,可以高效地工作在基于寄存器结构的 CPU 上
Linux kernel 自 3.18 版本起提供了扩展伯克利包过滤器(extended BPF,即 eBPF),其应用范围更广,能够被应用于更多的场景,原来的 BPF 被称为 classic BPF(cBPF),且目前基本上已经被废弃,Linux 会将 cBPF 字节码转化为 eBPF 字节码再执行
作为一个位于内核层面的虚拟机,eBPF 无疑为攻击者提供了一个相当大的新攻击面,因此也成为近几年内核利用中的“大热门”
一、eBPF 的运行过程
Linux 下 eBPF 的整体架构如下图所示:
- 用户进程首先在用户空间编写相应的 BPF 字节码程序,传入内核
- 内核通过
verifier对字节码程序进行安全性检查,通过检查后便通过 JIT 编译运行,eBPF 程序主要分为如下类型:kprobes:内核中的动态跟踪,可以跟踪至内核中的函数入口或返回点uprobes:用户空间中的动态跟踪,与 kprobes 不同的是跟踪的函数位于用户程序中tracepoints:内核中的静态跟踪perf_events:定时采样与 PMC
- 映射(map)作为用以保存数据的通用结构,可以在不同的 eBPF 程序之间或是用户进程与内核间共享数据
-
二、eBPF verifier
在 eBPF 字节码被传入到内核空间后,其首先需要经过
verifier的安全检查,之后才能进行 JIT 编译,verifier 主要检查以下几点: - 没有回向边(back edge)、环路(loop)、不可达(unreachable)指令
- 不能在指针之间进行比较,指针只能与标量进行加减(eBPF 中的标量值为不从指针派生的值),verifier 会追踪哪些寄存器包含指针、哪些寄存器包含标量值
- 指针运算不能离开一个 map 的“安全”边界,这意味着程序不能访问预定义的 map 外的内存,verifier 通过追踪每个寄存器值的上界与下界
- 不能将指针存储在 map 中或作为返回值,以避免将内核地址泄露到用户空间