4 基于IntelVt技术的Linux内核调试器- 调试器设计与实现(2):调试核心

最新推荐文章于 2023-06-18 17:51:56 发布
VIP文章 最新推荐文章于 2023-06-18 17:51:56 发布
阅读量3.8k 收藏
点赞数
分类专栏: 开源项目 文章标签: linux内核 汇编 引擎 数据结构 c 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LinuxKerneltravel/article/details/7999917
版权


4.1反汇编引擎

如果说调试框架是一个调试器的灵魂,那么接口与反汇编引擎就是一个调试器的身体。我们在调试过程中是要阅读指令代码的,而反汇编引擎则提供将二进制元指令翻译成可阅读的汇编代码这个功能。

设计并实现一个初级的反汇编引擎很简单,但是计算机指令系统并不简单,将这个反汇编引擎实现到可以实际应用的级别需要不断地调试与修复Bugs,这个过程需要耗费大量精力。所以我选择了开源反汇编引擎。虽然网上有很多开源反汇编引擎,但是大部分都依赖于用户态的C库,导致不能很好地移植到内核模块上使用,而且具有优秀效率的反汇编引擎很少。这里我选择了libudis86,它是一个开源反汇编引擎,我只对其语法转换部分进行了一些修改,使其反汇编出来的指令格式符合比较好的阅读习惯。

4.1.1libudis86的基本使用方法

Libudis86库的使用很简单,只要一个提供各种信息的结构体,调用ud_disasmembe函数即可。例如下面定义了一个反汇编某个指令的函数:

ULONGOriDisasm(PUCHAR str,ULONG Eip)

{

UDISud_obj;

ULONGlen;


ud_init(&ud_obj); //初始化结构体

ud_set_mode(&ud_obj,32); //设置为32位元CPU模式

ud_set_syntax(&ud_obj,UD_SYN_INTEL); //结果使用Intel语法

ud_set_pc(&ud_obj,(int)Eip); //设置反汇编起点

ud_set_input_buffer(&ud_obj,(uint8_t*)Eip,32); //设置输入缓冲区

len=ud_disassemble(&ud_obj); //开始反汇编

strcpy(str,ud_insn_asm(&ud_obj)); //复制结果

returnlen;

}

该函数反汇编Eip指向的二进制元指令码,将结果复制到str指向的缓冲区中。

4.1.2使用libudis86反汇编某段程序

上面的函数OriDisasm只能反汇编一条指令,通常我们的调试器需要反汇编一段程序。OriDisasm在反汇编一条指令结束后会返回该指令长度(位元组),递增指令指针循环继续这项操作即可反汇编一段代码。

4.1.3向上反汇编:递减命中率算法

调试器的反汇编窗口应该像控制台窗口一样具有翻页功能,这样便于我们查阅反汇编代码,但是单纯地使用libudis86只能从上往下进行反汇编,如果我们需要向上翻页,则需要从下往上翻页。看似简单,实际上有一个很重要的难题。

我们知道x86汇编指令是不定长的,一条指令可能最小只占用1个字节,最长可能占用15个字节,而我们并不知道某一条指令它的上一条指令占用多少个位元组,因此不能直接获取某一条指令的上一条指令是什么。例如下面的指令:

004017F0 75 64 jnz short 00401856

004017F2 8B45 10 mov eax, dword ptr [ebp+10]

004017F5 C1E8 10 shr eax, 10

004017F8 83F8 07 cmp eax, 7

第一列是指令位址,第二列是指令二进制元编码,第三列是对应的汇编代码。假设当前我们反汇编的位置是4017F8那么我们对这个内存位置的83F8 07进行反汇编可以得到cmpeax,7这条指令,但是我们并不知道这条指令的上一条指令从什么位址开始,如果我们贸然猜测上一条指令的位址显然我们会得到一个错误的反汇编结果。例如对4017F6反汇编得到:

004017F6 E8 1083F807 call 08389B0B

结果是一个占用5个位元组的call指令,而且这个指令覆盖了位于4017F8本来正确的结果。

我设计了一个算法用以解决这个问题,算法的思想是递减地址指针,从这个指标开始向下循环反汇编,当长度刚刚好到达我们预期的位置时,记录上一条指令的位置。然后将这些结果进行统计。

例如当前指令是

004017F8 83F8 07 cmp eax, 7

我们想要知道他的上一条指令是什么,就递减地址,得到4017F7,反汇编得到:

004017F7 1083 F807754B adc byte ptr [ebx+4B7507F8], al

结果覆盖了4017F8,此结果作废。继续向上递减。

004017F6 E8 1083F807 call 08389B0B

结果覆盖了4017F8,此结果作废。继续向上递减。

004017F5 C1E8 10 shr eax, 10

004017F8 83F8 07 cmp eax, 7

结果可能正确,记录下上一条指令位址4017F5,命中率为1次。

继续向上递减。

004017F4 10C1 adc cl, al

004017F6 E8 1083F807 call 08389B0B

覆盖了4017F8,此结果作废。继续向上递减。

004017F3 45 inc ebp

004017F4 10C1 adc cl, al

004017F6 E8 1083F807 call 08389B0B

覆盖了4017F8,此结果作废。继续向上递减。

004017F2 8B45 10 mov eax, dword ptr [ebp+10]

004017F5 C1E8 10 shr eax, 10

004017F8 83F8 07 cmp eax, 7

刚好得到4017F8,记录下4017F8的上一条指令是4017F5,因为刚刚记录命中了一次,因此当前的统计结果是:4017F8上一条指令4017F5,命中率2次。

就这样继续不断递减地址,从递减后的地址向下反汇编,当结果刚好可以到达4017F8时记录下上一条指令位址。假设我们向上递减200字节,记录结果可能如下。

4017F5 40

XXXXXX 1

那么根据统计结果上看,上一条指令有很大可能是从4017F5开始,那么我就可以认为上一条指令是4017F5。当然这个结论可能不正确,因为这毕竟是统计学结果。如果想要得到更准确的结果,我们可以采样更多的数据,例如向上递

最低0.47元/天 解锁文章
LinuxKerneltravel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.为什么用VT调试器来代替OD调试器1.rar
10-20
利用先进的VT调试器来代替传统的OD调试器
开源项目-基于Intel VT技术Linux内核调试器
weixin_34068198的博客
08-13 783
本开源项目将硬件虚拟化技术应用在内核调试器上,使内核调试器成为VMM,将操作系统置于虚拟机中运行,即操作系统成为GuestOS,以这样的一种形式进行调试,最主要的好处就是调试器对操作系统完全透明。如下图: 图1 虚拟化调试器框架 传统的内核调试器的工作原理是接管中断向量表中的INT1和INT3处理程序。前者对应的是#DB异常,通常是设置了单步标志后引发的单步异常和C...
关于滴水的VT调试器
whatday的专栏
04-06 7127
关于滴水的VT调试器 by 海风月影 论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对IntelVT技术略有了解,所以我来简单的介绍一下。 第一,什么是VT技术 VTIntel的硬件虚拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的 东西非常多(主要是效率问题,因为用软件模拟
docs:这是HyperDbg调试器的文档。 您也可以访问https
03-22
描述 系统管理程序辅助的调试器,用于分析,模糊化和反转 超级数据库 它是什么? HyperDbg调试器是一种开源,用户模式和内核模式调试器,致力于使用硬件技术调试器世界提供新功能。 它是通过使用Intel VT-x和Intel PT虚拟化已在运行的系统在Windows之上设计的。 该调试器旨在不使用任何API和软件调试机制,而是广泛使用第二层页表(又称扩展页表或EPT)来监视内核和用户执行。 HyperDbg具有隐藏钩子之类的功能,其速度与旧的嵌入式钩子一样快。 它模拟了用于(读取和写入)特定位置的硬件调试寄存器,但是这次对于Windows内核和程序而言完全不可见,并且当然在大小或数量上没有任何限制! HyperTbg使用TLB拆分,并具有测量代码覆盖率和监视某个函数从内存到内存或从内存移出所有mov的功能,这使HyperDbg成为唯一的调试器。 尽管HyperDbg具有新颖的
网络安全学术顶会——CCS '22 议题清单、摘要与总结(中)
最新发布
漏洞战争
06-18 2398
注意:本文由GPT4与Claude联合生成。81、HammerScope: Observing DRAM Power Consumption Using Rowhammer内存单元尺寸的不断缩小使得内存密度提高,功耗降低,但同时也影响了其可靠性。Rowhammer攻击利用这种降低的可靠性在内存中引发比特翻转,而无需直接访问这些比特。大多数Rowhammer攻击针对的是软件的完整性,但一些最近的攻击...
VT虚拟化技术,VT驱动调试器,自建调试体系,反反调试技术,内核驱动,VT过保护,VT源代码
04-27
vt框架使用的airhv,增加了自建调试体系部分 ept hook. 无痕int3. 自建调试体系隐藏debugport. 支持pdb符号自动下载,省去寻找特征码步骤,轻松兼容不同系统版本. 5.zip文件是编译好的成品 支持平台 win10 x64 intel ...
基于Intel-VTLinux内核监视器设计与应用.pdf
09-06
基于Intel-VTLinux内核监视器设计与应用.pdf
Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit
03-18
Girffin系统管理程序使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块,其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序,可在内核级别观察恶意...
嵌入式系统/ARM技术中的基于Verilog的SMBus总线控制器的设计实现
12-10
通过分析SMBus总线协议,提出了一种运行于基于PCI-Express技术的桥接芯片上的SMBus控制器的设计方案,并且用Verilog语言描述,最后在Altera公司的FPGA上得以实现。通过仿真测试,证明该方法是稳定有效的。 关键词...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
hyperdbg调试器
03-23
HyperDbg is a kernel debugger that leverages hardware-assisted virtualization. More precisely, HyperDbg is based on a minimalistic hypervisor that is installed while the system runs. Compared to traditional kernel debuggers (e.g., WinDbg, SoftIce, Rasta R0 Debugger) HyperDbg is completely transparent to the kernel and can be used to debug kernel code without the need of serial (or USB) cables. For example, HyperDbg allows to single step the execution of the kernel, even when the kernel is executing exception and interrupt handlers. Compared to traditional virtual machine based debuggers (e.g., the VMware builtin debugger), HyperDbg does not require the kernel to be run as a guest of a virtual machine, although it is as powerful.
基于vt技术调试器(自建调试体系 转移debugport)(支持win10 x64 推荐版本19042.1526或者更高)
02-27
a debugger use vt technology 1.support windows 10 x64 only(recommend version:19042.1526 or higher) 2.your system must support vt technology 3.sign the drivers by yourself
deepin-wine在线/离线安装包
08-11
Deepin-wine下载链接:https://github.com/wszqkzqk/deepin-wine-ubuntu 我在该网页下载了安装包放在了压缩包里,如果觉得占空间,可以把它删掉,使用我自己用C++写的在线Deepin-wine安装器也可以。 百度网盘下载链接:https://pan.baidu.com/s/1d_vdDKGobR_oxWV9iGM98g 提取码:ur2s 蓝奏云下载链接:https://gfdgdxi.lanzous.com/b01nmii9c (蓝奏云因为只能存<100MB的文件,所以只存了在线安装包)
2.VT调试器之无限硬件断点.rar
10-20
VT调试器来代替传统的OD调试器
3.VT调试器实现单步跟踪.rar
10-20
3.VT调试器实现单步跟踪.rar
2.基于IntelVt技术Linux内核调试器- 调试器主要原理与环境搭建
陈莉君的专栏
09-20 4268
2.1 传统调试器原理 传统的内核调试器实现断点功能时,都是修改中断向量表,捕获CPU的单步异常和断点异常来实现的。被调试软件只要检测中断向量表是否被修改就可以判断当前是否运行了内核调试器。 图2-1-1原理图:操作系统正常的CPU异常处理 图2-1-2原理图:传统调试器 2.2 硬件虚拟化技术调试器原理 基于VT-x技术内核调试器主要原理是创建一个虚拟机,
第7章 Smart-VM虚拟化层的实现
wdbfz的专栏
11-29 1421
1.1 Smart-VM虚拟化层<br />在使用Intel-VT技术之前,Smart-VM需要先激活VMX模式。为了激活VMX模式,处理器需要先进入保护模式。<br />当处理器在保护模式下未进入VMX模式的时候,跟普通处理器的保护模式操作是一样的。当处理器激活VMX模式,进入VMX根操作模式时,基本上跟正常的处理器在保护模式下的操作是一样的,但是VMX根操作模式多了几条操作VMX模式的指令。<br />VMX非根操作模式下虚拟的是保护模式。但是跟正常的保护模式有差别,比如说当客户操作系统在VMX非根操作
凯征调试器 V0.2.0版
09-22
“凯征调试器”版本说明 凯征调试器 0.2.0版 1. 增加“项目浏览器”功能,能显示浏览本调试器创建的项目。 2. 增加“新建空项目”功能,自动创建基础的"configure.ac","Makefile.am"和一个只包含main函数的项目C文件。 3. 增加“选择工作路径”菜单,以适应不同的Linux系统。 注意:使用项目浏览器功能,一定要把当前的工作路径设置到项目文件夹中。使用“项目”菜单中的“选择工作路径”菜单进行设置。否则会显示“未知的项目”。 凯征调试器 0.1.1版 1. 编译文件时,将make命令调整为 make -j8。 2. 修正另存文件时,覆盖同名文件无提醒的BUG。 3. 修正打开同名并已修改文件时无提醒,自动重新打开该文件,造成已修改部分丢失的BUG。 4. 增加了对GDB 8.2的支持。 凯征调试器 0.1.0版 将GtkSourceView、VTE及GDB等软件组合在一起,实现了一些基础功能。主要功能是在调试应用程序时,可以自动打开源文件并且跳到代码所在行。 注意:使用本软件的调试功能,一定要使用菜单中的“调试程序”或工具栏中的“程序”开始调试,千万不要在终端中用命令行开始,因为这样会跳过GDB与调试器建立通讯这一关键步骤,也就无法实现自动打开文件并跳到代码所在行的功能了。调试进程也是如此,一定要使用菜单中的“调试进程”或工具栏中的“进程”来开始。
Intel VT-x 指令集架构:硬件辅助虚拟化技术原理实现》第2章 2.2详细内容
05-27
Intel VT-x 指令集架构:硬件辅助虚拟化技术原理实现》第2章主要介绍了Intel VT-x架构的基本原理实现方式。其中2.2节详细讲解了VT-x的虚拟化模式。 在VT-x的虚拟化模式下,CPU通过将虚拟机监视器(VMM)运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值