Python 灰帽子笔记之调试器

最新推荐文章于 2022-05-20 15:08:50 发布
最新推荐文章于 2022-05-20 15:08:50 发布
阅读量4k 收藏 4
点赞数 1
分类专栏: Timen_Python 文章标签: python 调试器 灰帽子
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Temanm/article/details/50849161
版权
本文介绍了通过Python实现灰帽子调试器的过程,包括创建子进程和附加到现有进程的步骤,详细展示了my_debugger.py、my_debugger_defines.py和my_test.py的代码片段。通过实践加深对调试器原理的理解,为后续的黑客与逆向工程师技术学习奠定基础。
摘要由CSDN通过智能技术生成

前言:近日阅读《Python灰帽子-黑客与逆向工程师的Python编程之道》看的我是云里雾里,单单这个调试器就各种Google资料,现在也是懂了点点,感觉做下笔记,以便后续继续学习

手写一个调试器有助于我们理解hook、进程注入等底层黑客技术具体实现,在编写过程中需要涉及大量Windows内核编程知识,因此手写调试器也可以作为启发式学习内核编程的任务驱动。要想调试一个程序, 就需要与目标程序建立某种联系, 为此, 我们的调试器应该具备两种基本能力:
1. 打开一个程序, 并使它以自身子进程的形式运行起来
2. 附加到一个正在进去的程序上

1.创建子进程

BOOL CreateProcess (
    LPCTSTR lpApplicationName, // 程序路径
    LPTSTR lpCommandLine, // 命令行参数
    LPSECURITY_ATTRIBUTES lpProcessAttributes。
    LPSECURITY_ATTRIBUTES lpThreadAttributes,
    BOOL bInheritHandles,
    DWORD dwCreationFlags, // 创建的标志
    LPVOID lpEnvironment,
    LPCTSTR lpCurrentDirectory,
    LPSTARTUPINFO lpStartupInfo, // 指向一个用于决定新进程的主窗体如何显示的 STARTUPINFO 结构体
    LPPROCESS_INFORMATION lpProcessInformation // 指向一个用来接收新进程的识别信息的 PROCESS_INFORMATION 结构体
);

基本上, 我们只要关心 lpApplicationName、lpCommandLine、dwCreationFlags、lpStartupInfo 和 lpProcessInformation 这五个参数, 其它的设为 None即可.

2.调试器项目简介
调试器包括三个py文件,my_debugger.py 、my_debugger_defines.py 、my_test.py
my_debugger_defines.py : 保存的是程序常量及结构定义的地方
my_debugger.py : 是核心代码实现的地方
my_test.py : 运行文件

直接上示例代码:
my_debugger_defines.py

# coding=utf-8

from ctypes import *

# 为ctype变量创建符合匈牙利命名风格的匿名,这样可以使代码更接近Win32的风格
WORD = c_ushort
DWORD = c_ulong
LPBYTE = POINTER(c_ubyte)
LPTSTR = POINTER(c_char)
HANDLE = c_void_p

# 常值定义
DEBUG_RPOCESS = 0x00000001
CREATE_NEW_CONSOLE = 0x00000010


# 定义函数CreateProcessA()所需的结构体
class STARTUPINFO(Structure):
    _fields_ = [
        ("cb",              DWORD),
        ("lpReserved",     LPTSTR),
        ("lpDesktop",      LPTSTR),
        ("lpTitle",        LPTSTR),
        ("dwX",             DWORD),
        ("dwY",             DWORD),
        ("dwXSize",        DWORD),
        ("dwYSize",        DWORD),
        ("dwXCountChars", DWORD),
        ("dwYCountChars", DWORD),
        ("dwFillAttribute", DWORD),
        ("dwFlags",        DWORD),
        ("wShowWindow",   WORD),
        ("cbReserved2",   WORD),
        ("lpReserved2",   LPBYTE),
        ("hStdInput",     HANDLE),
        ("hStdOutput",    HANDLE),
        ("hStdError",     HANDLE),
    ]


class PROCESS_INFORMATION(Structure):
    _fields_ = [
        ("hProcess",        HANDLE),
        ("hThread",         HANDLE),
        ("dwProcessId",    DWORD),
        ("dwThreadId",     DWORD),
    ]

my_debugger.py

# coding=utf-8
from ctypes import *
from my_debugger_defines import *

kernel32 = windll.kernel32
最低0.47元/天 解锁文章
Tim(杨霆)
关注
专栏目录
Python帽子学习笔记(一)—— pydbg软钩子部署
PoXiaoFeng的博客
05-25 1210
利用pydbg库实现软钩子挂载,获取并修改目标进程数据。
谷歌黑客大神亲码“Python帽子”不讲一句废话,全是精华
最新发布
leah126的博客
12-06 195
Python是一款非常流行的脚本编程语言。特别是在黑客圈子里,你不会Python 就几乎无法与国外的那些大牛们沟通。遗憾的是,之前市面上还没有一本关于如何利用黑客工具中提供的 Python的学习资料,为此谷歌黑客大神,特地撰写了这份Python帽子,可以帮助很多编程爱好者找到黑客与逆向工程师Python编程之道,说到它的好处也许还不仅于此,它不仅是一本Python黑客编程方面的极佳参考资料,同时也是一本软件调试和漏洞发掘方面很好的入门教材。对于那些对黑客和Python感兴趣的读者,以及想入门网络安全的小伙
Python
iteye_16615的博客
04-13 271
黑客和逆向工程的python编程 学习资料
三十岁了从零开始学python还有前途吗?很迷茫啊
JAVAmonster12的博客
05-20 1715
对于学习这件事,我一直认为没有时间先后,啥时候学习都不晚,不管你现在年龄多大,只要有心想学习,一切都好说。 首先,你要学的python是属于技术类的知识,对于喜欢搞技术的朋友来说,到书店或图书馆选一本有关python的资料书,然后自己制定一个详细的学习计划,然后带着问题去阅读,你会发现这样学起来真的很轻松; 其次,明白了里面的原理,那就必须上手去操作,只有通过验证,才能理解在学习中遇到的那些晦涩难通的概念与执行原理。 当然每个人看书学习的方式与效率不同,要根据自己的情况总结出适合自己的方式,只有掌握了看不
Python帽子学习笔记(二)——Immunity Debugger部署硬钩子
PoXiaoFeng的博客
05-26 2395
本文利用python帽子第六章硬钩子脚本框架,完成对自编译软件printf函数入口、出口的硬钩子部署工作。
关于《Python帽子:黑客与渗透测试编程之道》的学习笔记
Mi1k7ea
05-04 2万+
本篇文章是学习《Python帽子:黑客与渗透测试编程之道》的笔记,会持续地将书上的代码自己敲一遍,从而让自己对Python的安全编程有更多的了解,同时希望各位可以给给建议,不足之处太多了。 第一章——设置Python环境: Kali Linux的安装就不说了,最近有更新为2017版的可以下载。 确认是否安装了正确的Python版本: 确认是2.7版本的即可。 接着安装P
Python笔记---Immunity Debugger
GuLu_GuLu_jp的专栏
01-16 5023
Immunity Debugger一、介绍Immunity Debugger软件专门用于加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析。它具备一个完整的图形用户界面,同时还配备了迄今为止最为强的python安全工具库。它巧妙的将动态调试功能与一个强大的静态分析引擎融合于一体,它还附带了一套高度可定制的纯python图形算法,可用于帮助我们绘制出直观的函数体控制流以及函数中的各个基本块。二、安
Python帽子.pdf
05-16
Python帽子Python调试与PythonHOOK
Python帽子中文.pdf
09-20
Python帽子中文.pdf
Python帽子中文 高清版PDF
06-21
Python帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDF
python英文单词批量抽取美式英标英式音标中文解释例句解释
04-28
英文单词批量抽取美式英标,英式音标、中文解释、例句解释 使用方法 把需要翻译的单词word.xlsx标签[Sheet1]页的A列里面,如 abandoned ability abroad 运行python getWordFromDic.py 生成word_create.xls,内容例子如下 英文 音标UK 音标US 现在完成时 一般过去时 现在进行时 复数变形 中文翻译 例句 ability əˈbɪlətɪ əˈbɪlətɪ abilities n. 才能,能力 " I don't doubt your ability to do the work./r/n 我不怀疑你有能力担任这项工作。/r/n He is a man of many abilities./r/n 他是一个有多方面才能的人。/r/n"
Python帽子--黑客与逆向工程师的Python编程之道 笔记,过程问题解决
热门推荐
giantbranch的专栏
08-11 3万+
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑电脑端的可以看看目录 跟着学习进度不断更新中。。。。(因为懒,没更新了,也不打算继续更新文章了......) power by 《python帽子--黑客与逆向工程师的Python编程之道》 欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u0127...
Python帽子笔记
Yale的博客
07-21 986
动态链接库本身是一些经过编译的二进制文件,之在运行时才会被连接进主进程。在windows下这些二进制文件被称为动态链接库(dll),而在linux下这些库文件被称为共享对象(so,shared object)。无论哪种平台,这些二进制文件都是通过导出函数名称的方式来呈现它们所包含的函数。这些由链接库导出的函数名称可以被解析成内存中实际的函数的地址。 函数调用约定(calling conven
Python帽子 黑客与逆向工程(调试器
午夜安全
05-28 636
调试器通过调试器可以跟踪一个进程的运行时状态,称之为动态分析技术。大多数调试器都具备基本功能:运行、暂停执行和单步执行,除此之外还包括:设置断点、修改寄存器和内存数据值、捕获发生在目标进程中的异常事件。1.通用寄存器1.1 X86通用寄存器X86通用寄存器一共8个,它们的特性如下。EAX(累加器):用于协助执行一些常见的运算操作,以及存放函数返回值。因此可以基于存储在EAX中的值来判断一个函数调用...
Gray Hat Python帽子学习+python3+win10笔记
qq_22901753的博客
04-07 479
动态链接库printf只出现首字母原文代码新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 原文代码 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅
Python帽子:黑客与逆向工程实战指南
"Python帽子——一本关于Python安全攻防的书籍,适合有一定Python基础并希望学习逆向工程的读者。本书旨在填补Python在黑客编程应用方面的手册空白,提供实用的黑客工具和技巧,帮助读者不仅能使用已有的Python...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值