lldb python 脚本扩展之超级断点增强版

最新推荐文章于 2023-10-25 11:32:22 发布
最新推荐文章于 2023-10-25 11:32:22 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ios逆向工程 文章标签: python ios 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bme314/article/details/78722772
版权

lldb python 脚本扩展之超级断点增强版

引言

不知道各位在逆向ios用到lldb的时候是啥感觉,反正我是服了。没界面到算了,各种跳转和断点用起来不知道有多麻烦。所以我尽量用静态分析。不过越往后,越发现,光静态实在是不行。

  1. ios不知道有没有动态解密一说,就是把mach-o加密的部分在加载的时候再解密。android和windows上有一种方式叫做dump内存,可以把加载后解密的部分保存下来,但我在ios上用lldb memory read dump的时候发现限制了1024字节,后来又想把一堆1024字节拼起来,有发现不是所有的地址都能读。于是乎,我怀疑,ios内存读写存在限制。不知是否?有明白的希望留言告知。
  2. 网上有个python lldb的超级断点的脚本,本工具经该工具改编而来,原作者不详,大家可以查下。
  3. ios和window汇编上有个说法上的不同,模块的地址ios上叫ASLR偏移,而windows上叫基地址。我们反编译工具里的地址,ios叫做基地址,windows上叫偏移offset.好像正好相反,文中按照ios本来的叫法说明。

lldb 断点之困

lldb下断点之前都有一个偏移查找的过程,“image list -o -f”。其实其他平台也类是,超级断点这个工具的核心就是把模块偏移寻找的过程自动化,让我们只需要输入基地址就可以在目标地址下断点的脚本。当然这一切的前提是,lldb预留了python的接口,否则就悲催了。
简单介绍下代码:

def get_ASLR():
    # 获取‘image list -o’命令的返回结果
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('image list -o', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出第一个0x开头的16进制地址
    match = re.search(r'(1\]\s)(0x[0-9a-fA-F]+)', output)
    if match:
        return match.group(2)
    else:
        return None

代码很简单,通过接口执行lldb命令得到返回的数据,正则匹配出用户模块偏移量。

def sbr(debugger, command, result, internal_dict):
    #用户是否输入了地址参数
    if not command:
        print >>result, 'Please input the address!'
        return
    ASLR = get_ASLR()
    if ASLR:
        #如果找到了ASLR偏移,就设置断点
        debugger.HandleCommand('br set -a "%s+%s"' % (ASLR, command))
    else:
        print >>result, 'ASLR not found!'
# And the initialization code to add your commands

同样利用接口把我们输入的基地址和偏移传入lldb执行命令。

用户态代码的锁定

这里到了我胡编乱造的时候,我在调试ios的发现,object-c反汇编后的代码有一个很大的特点,就是喜欢在汇编代码块里乱跳。可能是更object-c和arm的运行机制有关,导致我们的代码在用户模块里的过程很难捕捉到,一句话,单步走功能就是个坑。
为了解决这个问题,我在以上脚本的基础上,利用断点功能实现了两大扩展。
1.单步执行在本模块,坚决不跳到其他模块的单步走
2.多条指令一键式执行,只要输入执行指令数,一条命令立刻执行到位。同样执行过程锁定在同一个模块。
(你要想去其他模块,本身的命令就够了)

正真意义上的单步执行

首先,我们要获得当前指令的地址,很简单,“register read/x pc”
同样我们正则匹配出地址字符串返回。


def get_pc():
    # 获取‘image list -o’命令的返回结果
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('register read/x pc', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出第一个0x开头的16进制地址
    match = re.match(r'.+(0x[0-9a-fA-F]+)', output)
    if match:
        return match.group(1)
    else:
        return None

然后在下一条指令的本模块下一条地址的地方下断点,并执行到断点

 ADDRESS = get_pc()
    #增加断点
    if not command:
        if ADDRESS:
            debugger.HandleCommand('br set -a "%s+4"' % (ADDRESS))
            print 'br set success:"%s+4"'%ADDRESS
        #执行到断点
            debugger.HandleCommand('c')
            NUM = getbrlistn()

执行完毕删除断点

    NUM = getbrlistn()
        #删除断点
            if NUM:
                debugger.HandleCommand('br dele %s' % (NUM))
                print "br dele success:%s"%NUM
            else:
                print >>result, 'br list number not found!'
        else:

这里还有个获取上一步断点并删除的操作。同样正则。

#得到最后断点的标号
def getbrlistn():
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('br list', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出所有的断点代号
    match = re.findall(r'(^\d{1,4})(:\saddress)', output,re.M)
    if match:
        num=len(match)
        strlast=match[num-1]
        brnum=strlast[0]
        #print brnum
        return brnum
    else:
        return None
# Super breakpoint

单步基础上的多步执行

基本和单步执行的代码一样,不同之处在于我们需要传入执行步数,command.并转换到响应的地址下断点。

offby=int(command,16)*4
        if ADDRESS:
            debugger.HandleCommand('br set -a "%s+%x"' % (ADDRESS,offby))
            print 'br set success:"%s+%x"'%(ADDRESS,offby)
            #执行到断点
            debugger.HandleCommand('c')

然后就是执行到断点和删除断点。

获得静态编译的地址

同样的,我们执行到某个位置后想在ida里静态查看下相应的代码,也给他自动化一下。

def idaposi(debugger, command, result, internal_dict):
    ASLR=get_ASLR()

    PCADD=get_pc()
    print "ASLR:",ASLR
    print "trueADDR:",PCADD
    if (ASLR!=None)&(PCADD!=None):
        #print ASLR
        #print PCADD
        addr=int(PCADD,16)-int(ASLR,16)
        print "idaposition_address:ox%x"%addr
    else:
        print "get info error"

这下齐全了。各位可以自己敲一下,把代码改成这样就能用了。
完整代码在下面。

#!/usr/bin/python
#coding:utf-8
'''
执行以下脚本导入超级断点工具

(lldb) command script import ~/workspace/3-lldb/subr.py
The "sbr" python command has been installed and is ready for use.
(lldb)
输出安装成功,只需就收一个地址就可工作
subr 地址

(lldb) br delete
About to delete all breakpoints, do you want to do that?: [Y/n] y
All breakpoints removed. (1 breakpoint)
(lldb) subr 0x00000001000093dd
Breakpoint 2: where = Calculator`___lldb_unnamed_function161$$Calculator, address = 0x000000010cb033dd
(lldb)
对于经常使用的脚本,可以在lldb的初始化文件里添加命令加载脚本,启动自定义的命令
修改~/.lldbinit文件,在文件里加入一行

command script import ~/sbr.py
'''
import lldb
import commands
import optparse
import shlex
import re
# 获取ASLR的偏移地址
def get_ASLR():
    # 获取‘image list -o’命令的返回结果
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('image list -o', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出第一个0x开头的16进制地址
    match = re.search(r'(1\]\s)(0x[0-9a-fA-F]+)', output)
    if match:
        return match.group(2)
    else:
        return None

def get_pc():
    # 获取‘image list -o’命令的返回结果
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('register read/x pc', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出第一个0x开头的16进制地址
    match = re.match(r'.+(0x[0-9a-fA-F]+)', output)
    if match:
        return match.group(1)
    else:
        return None
#得到最后断点的标号
def getbrlistn():
    interpreter = lldb.debugger.GetCommandInterpreter()
    returnObject = lldb.SBCommandReturnObject()
    interpreter.HandleCommand('br list', returnObject)
    output = returnObject.GetOutput();
    # 正则匹配出所有的断点代号
    match = re.findall(r'(^\d{1,4})(:\saddress)', output,re.M)
    if match:
        num=len(match)
        strlast=match[num-1]
        brnum=strlast[0]
        #print brnum
        return brnum
    else:
        return None
# Super breakpoint
def sni(debugger, command, result, internal_dict):
    ADDRESS = get_pc()
    #增加断点
    if not command:
        if ADDRESS:
            debugger.HandleCommand('br set -a "%s+4"' % (ADDRESS))
            print 'br set success:"%s+4"'%ADDRESS
        #执行到断点
            debugger.HandleCommand('c')
            NUM = getbrlistn()
        #删除断点
            if NUM:
                debugger.HandleCommand('br dele %s' % (NUM))
                print "br dele success:%s"%NUM
            else:
                print >>result, 'br list number not found!'
        else:
            print >>result, 'ADDRESS not found!'
    else:
        offby=int(command,16)*4
        if ADDRESS:
            debugger.HandleCommand('br set -a "%s+%x"' % (ADDRESS,offby))
            print 'br set success:"%s+%x"'%(ADDRESS,offby)
            #执行到断点
            debugger.HandleCommand('c')
            NUM = getbrlistn()
            #删除断点
            if NUM:
                debugger.HandleCommand('br dele %s' % (NUM))
                print "br dele success:%s"%NUM
            else:
                print >>result, 'br list number not found!'
        else:
            print >>result, 'ADDRESS not found!'

def idaposi(debugger, command, result, internal_dict):
    ASLR=get_ASLR()

    PCADD=get_pc()
    print "ASLR:",ASLR
    print "trueADDR:",PCADD
    if (ASLR!=None)&(PCADD!=None):
        #print ASLR
        #print PCADD
        addr=int(PCADD,16)-int(ASLR,16)
        print "idaposition_address:ox%x"%addr
    else:
        print "get info error"  

def sni2(debugger, command, result, internal_dict):

    NUM = getbrlistn()
    #删除断点
    if NUM:
        #print "%d"%NUM
        debugger.HandleCommand('br dele %s' % (NUM))
        print NUM
    else:
        print >>result, 'br list number not found!'
# And the initialization code to add your commands 
# Super breakpoint
def sbr(debugger, command, result, internal_dict):
    #用户是否输入了地址参数
    if not command:
        print >>result, 'Please input the address!'
        return
    ASLR = get_ASLR()
    if ASLR:
        #如果找到了ASLR偏移,就设置断点
        debugger.HandleCommand('br set -a "%s+%s"' % (ASLR, command))
    else:
        print >>result, 'ASLR not found!'
# And the initialization code to add your commands 
def __lldb_init_module(debugger, internal_dict):
    # 'command script add sbr' : 给lldb增加一个'sbr'命令
    # '-f sbr.sbr' : ¸该命令调用了sbr文件的sbr
    debugger.HandleCommand('command script add subr -f subr.sbr')
    debugger.HandleCommand('command script add sni -f subr.sni')
    debugger.HandleCommand('command script add idap -f subr.idaposi')
    print 'The "sbr" python command has been installed and is ready for use.'
inquisiter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LLDB命令简单介绍
AzulSystems的博客
01-11 1231
LLDB是Low Lever Debugger的简称,翻译成中文应该叫做底层调试器,它是LLVM项目的调试器组件。LLVM是构架编译器(compiler)的框架系统,以C++编写而成,用于优化以任意程序语言编写的程序的编译时间(compile-time)、链接时间(link-time)、运行时间(run-time)以及空闲时间(idle-time),对开发者保持开放,并兼容已有脚本。如果你了解过Swift语言及其作者,那么一定对Chris Lattner博士不陌生,那这里为什么要提到他呢?
xia0LLDB:xia0 用于 iOS arm64 逆向的 LLDB python 脚本
08-04
xia0LLDB :smiling_face_with_horns: https://github.com/4ch12dy/xia0LLDB Welcome to xia0LLDB - Python3 Edition ,--. ,--. ,--. ,--. ,------. ,-----. ,--. ,--.`--' ,--,--. / \ | | | | | .-. \ | |) /_ \ `' / ,--.' ,-. || () || | | | | | \ :| .-. \ / /. \ | |\ '-' | \ / | '--.| '--.| '--' /| '--' / '--' '--'`--' `--`--' `--' `-
lldb-scripts:我在 lldb 下简化调试的 Python 脚本
06-30
lldb 脚本 lldbPython 脚本集合,简化调试。 QString打印机 受启发,为 Qt 5.x 打印可读的 QStrings 如何使用 将 qstring.py 复制到 ~/.lldb/ 在 lldb 中调用以下命令: command script import ~/.lldb/qstring.py 在 lldb 或 Xcode 中享受可读的 QStrings
cpython-lldb:LLDB扩展,用于调试Python程序
05-28
概述 cpython_lldb是用于调试Python程序的LLDB扩展。 这对于解决解释器或外部库中的卡住的线程和崩溃可能很有用。 与大多数Python调试器不同,LLDB允许您不需进行检测就将其附加到正在运行的进程,或者加载coredump并对问题进行事后分析。 在分析Python进程的状态时,通常您只能访问解释器级别的信息:每个变量的类型均为PyObject *,并且堆栈跟踪将仅包含CPython内部调用和对外部库的调用。 除非您是CPython开发人员,否则需要对解释器实现中的某些错误进行故障诊断,否则通常不会很有用。 但是,此扩展允许您提取有关程序执行的应用程序级信息:打印变量的值,列出源代码,显示Python堆栈跟踪等。 虽然CPython的本身提供了GDB类似的扩展,一个仍可能更愿意使用LLDB作为调试器,比如在Mac OS。 cpython_lldb要求使用调试符号
LLDBLLDB别名正则表达式和Python脚本的集合,可帮助您进行调试
02-03
本地数据库 LLDB别名/正则表达式和Python脚本的集合,可帮助我进行调试。 这些脚本仅出于我的娱乐目的而构建,但是其中一些脚本可能对您自己的工作有所帮助。 如果您想更好地了解如何构建这些LLDB脚本,或者总体上更好地了解LLDB,请查看 。 安装 要安装,请将lldb_commands文件夹复制/克隆到您选择的目录中。 打开(或创建) 〜/ .lldbinit 将以下命令添加到〜/ .lldbinit文件中: command script import /path/to/lldb_commands/dslldb.py 繁荣! 你很好! 您可以通过尝试使用调试器中的命令之一来进行
LLDBPython扩展脚本
12-20
LLDB下可以使用Python编写脚本扩展指令。 可以参考http://blog.csdn.net/horkychen
xcode-kotlin:Kotlin本机Xcode插件
02-10
Kotlin本机Xcode支持 该插件可帮助您在Xcode中使用Kotlin Native调试iOS应用程序。 将Kotlin文件定义为源代码,并带有基本突出显示。 允许您设置断点,并包括llvm支持以在调试窗口中查看数据。 Xcode并不正式支持自定义语言定义,但它们也没有明确地阻止它们。 我们正在招聘! Touchlab正在寻找一位具有Android / Kotlin经验的移动开发人员,他渴望深入研究Kotlin多平台移动(KMM)开发。 快来加入远程第一团队,将KMM投入生产。 。 安装 Kotlin支持包括2部分:1)调试支持和2)语言颜色和样式格式。 您需要告诉Xcode *.kt文件是源文件,并在调试开始时运行lldb格式化程序脚本。 高级用户可能希望手动执行此操作,但是如果您在默认位置安装了Xcode,则可以运行安装脚本。 Xcode 11 要获得Xcode 11中的调
LLDB+Python脚本:增强LLDB调试
weixin_34010949的博客
07-27 1042
在此次WWDC18中.有一个session是说LLDB调试的. 其通过Python脚本大幅度提升了调试效率. 今天讲一下导入脚本的方法. 转载请注明出处:juejin.im/post/5b57e3… 先来看下效果. 在LLDB中实时修改登录按钮的位置 导入脚本 1.terminal 中执行 vim ~/.lldbinit ~/.lldbinit是LLDB每次启动都会加载的一个文件,所以类似给...
iOS调试技巧——使用Python 自定义LLDB
u012903898的博客
10-25 762
只需要将命令command script import /Users/xx/Desktop/lldbtest.py 写入这个文件即可。至此,直接在Xcode中使用lldb打印出[MyClass lldbTest]的返回值就完成了。lldb_test表示命令名称,lldbtest是Python文件名,test是自定义方法名。/Users/xx/Desktop/lldbtest.py是Python文件路径。在使用Python 自定义LLDB之前,先了解一下LLDB的一些类型。####1、新建Python文件。
Linux下使用lldb配合python脚本dump程序实时内存
lifangyi01的博客
10-12 1073
通过python脚本自动执行程序,在每次step over时dump memory。
编写一个watchdog.sh脚本_编写 LLDB 调试器脚本
weixin_39815435的博客
11-26 138
LLDB 调试器提供对 Python 脚本的支持,可以执行一些自动化的操作,提供工作效率。本文从 HelloWorld 开始学习如何编写 LLDB 脚本。编写第一个 LLDB 脚本下面我们来实际操作编写 LLDB 调试器脚本。在计算机上建立一个目录用于存脚本文件,比如我们在 /Users/exchen/lldb 这个目录下操作,新建一个 HelloWorld.py 的文件,输入下面的代码...
LLDB-Is-It-Not, 加载项目特定的Xcode插件lldbinit.zip
09-18
LLDB-Is-It-Not, 加载项目特定的Xcode插件lldbinit 如果你想要加载你的项目的特定设置,请先输入?LLDB通常加载它在当前工作目录中找到的.lldbinit 文件。 不幸的是,Xcode没有这种行为。 ( 存档方式为
LLDB查看数据类型的示例脚本
01-14
不知道大家都没有遇到过在gdb和lldb里输出一个类时困扰,常常要一个个属性展开下去,或者调用提供函数来检查。我分享一个使用LLDB脚本来简化变量输出的方法。
lldb脚本
03-04
回购我的lldb脚本,您也可能会发现它们很有用。 它们主要是在考虑iOS调试的情况下开发的。 安装 $ git clone https://github.com/lateralusd/lldb-scripts.git $ lldb ... (lldb) command script import /path/to/...
vscode-lldb:基于LLDB的VSCode的本机调试器扩展
04-28
Python脚本, 用于高级可视化HTML呈现, Rust语言支持,内建可视化工具,可处理矢量,字符串和其他标准类型, 启动配置的全局和工作区默认值, 远程调试 反向调试(实验性,要求兼容的后端)。 有关详细信息,...
Python-LLDB的一个gdbinit克隆
08-10
LLDB的一个gdbinit克隆
iOS逆向之lldb常用操作指令.pdf
03-01
该文档主要介绍了iOS逆向过程中lldb调试分析app时用到的一些常用指令,感兴趣的朋友可以下载下来看看,了解了解。
lldb-symbolic:lldb命令-symbolic
05-23
开发阶段发现的异常,重启并打异常断点来定位问题:这种做法,对于必现的crash,是有效的方式。但是程序的运行环境时常是复杂的,有许多问题,只是偶现和难以复现的,重启不一定能很好复现bug, 因此这种做法存在...
vegvisir:基于浏览器的GUI,用于** LLDB **调试器
02-02
This is because the LLDB framework currently only supports default python on MacOS. ^^/D/p/Vegvisir >>> which python /usr/bin/python ^^/D/p/Vegvisir >>> python -V Python 2.7.10 ^^/D/p/Vegvisir...
ios越狱真机lldb
最新发布
03-02
iOS越狱是指绕过苹果公司对iOS设备的限制,获取对设备更高级别的访问权限。而lldb是一种调试器,用于在开发过程中对iOS应用进行调试和分析。 在iOS越狱环境下,可以使用lldb来调试真机上的应用程序。lldb提供了一系列的命令和功能,可以帮助开发者定位和解决应用程序中的问题。 要在iOS越狱真机上使用lldb进行调试,首先需要确保设备已经越狱,并且已经安装了lldb。然后,通过SSH连接到设备,并使用lldb命令启动目标应用程序的调试会话。 一旦进入lldb调试会话,可以使用一系列的命令来执行调试操作,例如设置断点、查看变量的值、单步执行代码等。lldb还支持Python脚本扩展,可以根据需要编写自定义的调试命令和功能。 需要注意的是,iOS越狱和使用lldb进行调试都属于高级操作,需要谨慎使用,并且遵守相关法律法规和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值