ret-sync插件:windbg/ollydbg+ida逆向调试神器

最新推荐文章于 2024-09-10 09:56:17 发布
最新推荐文章于 2024-09-10 09:56:17 发布
阅读量4.3k 收藏 9
点赞数 1
分类专栏: 调试 器之卷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/95668806
版权

    ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。

    最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/lldb等调试器:

使用插件前的准备工作

1.虽然作者建议使用vs2017生成插件,但由于vs2017的bug,建议换用其他低版本编译器。笔者发现vs2013亦能生成插件。

2.编译生成的windbg扩展,需要区分x86/x64版本。x86的dll放到C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext目录下;相应的,x64的dll放到C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext目录下。编译生成的ollydbg1扩展,放到ollydbg1菜单栏Options-Appearance-"UDD path"所指定的路径:

3.笔者使用的是IDA Pro 7.0 。由于IDA7.0内置了python2.7且支持x64位系统,因此,需要额外安装python2.7 x86-64版本,否则遇到诸如<总结IDA遇到的python问题>一文中提到的各种奇葩问题。

4.将ext_ida目录下的所有文件拷贝到IDA的plugins目录中:

--->

使用插件

1.首先在IDA中加载待调试的二进制,保存(Ctrl+W)生成idb文件。本文用Crackmes.cf中Level1的#ParadoxX做示例,加载AC1D.Materie.exe并保存,最终生成AC1D.Materie.idb,如图:

2.IDA中启动rer-sync插件,Edit-Plugins-"ret sync":

此时会弹出ret sync插件的窗口,如果前面的环境搭建正确,IDA的Output窗口会输出:

[sync] form create
Note: FormToPyQtWidget: importing 'sip' module into <module '__main__' from ''>
[sync] default idb name: AC1D.Materie.exe
[*] sync enabled <----------------------------sync插件加载成功
[*] init_broker
[*] cmdline: "C:\Python27\python.exe" -u "D:\Program Files\IDA 
...
[sync] name AC1D.Materie.exe
[sync] module base 0x400000
[sync] hexrays #7.0.0.170914 found
[sync] hexrays version >= 7.2 is needed
[*] broker new state: Starting
[*] broker new state: Running
[*] broker started
...
[*] << broker << dispatcher not found, trying to run it
[*] << broker << dispatcher now runs with pid: 4464
[*] << broker << connected to dispatcher
[*] << broker << listening on port 61085 <-----------sync开始侦听并等待调试器链接

3.看IDA的输出,感觉ret sync在IDA上运行的是个服务端插件;要正常工作,还需要客户端去连接。我们的客户端当然就是运行了ret sync扩展的windbg/ollydbg了。先用ollydbg演示一下。

4.在ollydbg中加载AC1D.Materie.exe

ollydbg加载完毕后,eip可能指向系统模块所在空间。需要设置初始中断的位置为

"Debugging options"-Events-Make first pause at"-"Entry point of main moudle"

为什么要这么设置?根据ret sync的作者解释,只有当调试器的Eip所在的模块与IDA生成的idb同名时,插件才开始工作! 根据od"Memory Map"模块图和CPU窗口可以确定,我的ollydbg目前满足使用插件的条件:

点击plugins-"ret sync plugin"-sync,此时IDA disassemly窗口对应的指令会变黄,同时输出窗口显示:

[*] << broker << dispatcher now runs with pid: 4464
[*] << broker << connected to dispatcher

在Ollydbg中按F7/F8使EIP向下运行,IDA中黄色高亮光标会跟着变化:

嗯,还真是个不错的插件,我喜欢

Eugene800
关注
专栏目录
ida 安装插件_retsync同步调试插件介绍
weixin_39678103的博客
12-01 1835
ret-sync是一组插件,用于同步WinDbg/GDB/LLDB/OllyDbg2/x64dbg 调试会话的插件。ret-syncret-sync的英文全称是Reverse-Engineering Tools SYNChronization(反向工程工具同步)。它是一组帮助调试会话(WinDbg/GDB/LLDB/OllyDbg/OllyDbg2/x64dbg)与反汇编程序(IDA/...
IDA 分析插件详细使用
qq_34241037的博客
08-05 575
WPeChatGPT试用
ret-sync:ret-sync是一组插件,可帮助与IDAGhidraBinary Ninja反汇编程序同步调试会话(WinDbgGDBLLDBOllyDbg2x64dbg)
05-12
重新同步 ret-sync代表反向工程工具SYNChronization。 它是一组插件,可帮助将调试会话(WinDbg / GDB / LLDB / OllyDbg / OllyDbg2 / x64dbg)与反汇编程序(IDA / Ghidra / Binary Ninja)同步。 基本思想很简单:从两个方面都获得最大收益(静态和动态分析)。 调试器和动态分析为我们提供了: 具有实时动态上下文(寄存器,内存等)的本地视图 内置的专业功能/ API(例如:WinDbg中的!peb , !drvobj , !address等) 反汇编程序和静态分析为我们提供了: 模块上的宏视图 代码分析,签名,类型等 花式图视图 反编译 在IDB / GPR中持久存储知识 主要特征: 将图和反编译视图与调试器的状态同步 无需处理ASLR,可实时重新定位地址 将数据(注释,命令输出)从调试器传递到反
探索技术新境界:ret-sync——动态与静态分析的桥梁
gitblog_00025的博客
05-12 508
探索技术新境界:ret-sync——动态与静态分析的桥梁 ret-syncret-sync is a set of plugins that helps to synchronize a debugging session (WinDbg/GDB/LLDB/OllyDbg2/x64dbg) with IDA/Ghidra/Binary Ninja disassemblers.项目地址:https...
Windbg对windows api调用的逆向分析
weixin_34082177的博客
01-13 239
用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,b...
调试实战 | 通过转储文件分析程序无响应之使用 windbg + IDA 逆向
12-21 1069
程序无响应,而且cpu占用率很低,可以考虑死锁的可能性。本文是在实际开发过程中遇到的一个很典型的死锁。而且排查过程很有意思,既使用了windbg的内存搜索功能,又利用了IDA强大的逆向能力,尤其是F5,太香了。
随想录(OllyDbgIDA Pro的配合使用)
嵌入式-老费,一个分享专业嵌入式知识的blog
04-06 3033
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 在软件处理中,OllyDbgIDA Pro一般是配合使用的。前者主要用于动态的程序调试,后者主要用于静态的代码分析。那么,如果遇到实际程序,该怎么处理呢?逻辑一般是这样的, 1、首先用OllyDbg验证此程序是否能够运行 分析程序的前提一般是判断程序是否可以...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1372
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8799
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
恶意样本分析--16Windows中一些常用的反调试记录
LoopherBear的博客
05-25 597
Windows中一些常用的反调试记录 这里笔记会记录一些关于Windows中的反调试技术的汇编代码,方便后续分析程序时回来查看。反调试技术包括 Windows APIs 调用 其他手段检测调试器 Windows APIs IsDebuggerPresent 这个函数主要检测的是PEB的IsDebugged标志,如果返回非零值则表示被调试 CheckRemoteDebuggerPresent 这个函数和IsDebuggerPresent函数一样也是检测PEB->IsDebugged状态值, 不过还可
逆向】【Part 2】逆向分析基础
lanlanla的成长历程
01-08 716
1.基本知识回顾 1.MessageBox函数 PS:这个函数出现的频率太高了,建议记下来(以防考试)。 函数原型: intMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT UType); 参数:  hWnd:标识将被创建的消息框的拥有窗口。如果此参数为NULL,则消息框没有拥有窗口。  lpText:指向一个以...
Windows 11 版本 WDK中windbg调试插件
07-22
适用于 Windows 11 版本 WDK中windbg调试插件,支持vs2019,微软官方原版下载WDK中提取
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA中使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
IDA7.5使用ScyllaHide反反调试
liuxiaohuai_的博客
10-20 1684
IDA7.5使用ScyllaHide反反调试
逆向工程实战》--windbg相关学习记录
ATree的博客
01-14 766
这篇我主要记录一些windbg的常用命令,在书中都可以找到这些知识点,就是记录下,防止自己在使用过程中有时记不起来自己想用的命令是什么。 t(F11)--step into p(F10)--step over gu(shift+F11)--go up,执行到当前函数直到结束,返回到调用者 g(F5)--go,恢复程序执行 ~命令可以列出所有线程 使用-o参数调试某路径下进程 ...
[调试逆向] 学会使用windbg定位程序bug
weixin_30298497的博客
08-07 95
学会使用windbg定位程序bug - 转载于:https://www.cnblogs.com/zhehan54/p/9436629.html
python逆向调试工具_[原创]用IDAPython实现的反反调试小脚本
weixin_39861734的博客
12-21 974
更新加一个github地址DBGHider,里面加了inline hook。背景许多人喜欢用IDA进行静态分析,用OllyDbg进行动态分析,似乎很少人喜欢使用IDA进行调试。然而我这个菜鸟不会用OD,所以没有体会它的强大之处,我更喜欢用IDA调试器。IDA调试器功能也很强大。支持x64位程序。可以充分利用静态分析的结果。支持多种平台,Windows版本的IDA支持本地Windows调试,同时...
ret-sync逆向工程工具的完美同步
最新发布
gitblog_00977的博客
09-10 488
ret-sync逆向工程工具的完美同步 ret-syncret-sync is a set of plugins that helps to synchronize a debugging session (WinDbg/GDB/LLDB/OllyDbg2/x64dbg) with IDA/Ghidra/Binary Ninja disassemblers.项目地址:https://gitco...
逆向笔记2--常用的调试软件及插件
weixin_43046297的博客
11-05 1207
逆向软件及插件汇总 结合平日的逆向调试经验,特别总结了几个常用的逆向软件和插件,方便大家学习和应用 1.OD:动态调试神器,可以用原装的ollydebug,也可以使用吾爱破解版,吾爱破解版内置很多方便的插件,推荐大家使用。 2.IDA:静态调试神器 3.PEID:查文件用,对于不额外加壳的程序,可以看程序编写的源代码类型,对于加壳的程序,有时可以查看壳的种类。 4.PEview:方便查看PE文件结...
koa2-proxy proxyOpts https://ret-auto.com:9443/charge/weChat/getOpenId?code=0c1qrbGa1NRZDF0E93Ga1ozBXk1qrbGA 转192.168.1.18:9003 '/charge/(.*)': { target: 'http://192.168.1.18:9003/', changeOrigin: true, pathRewrite: { '/charge': '', // rewrite path } }没转成功
07-13
根据你提供的koa2-proxy配置,将`https://ret-auto.com:9443/charge/weChat/getOpenId?code=0c1qrbGa1NRZDF0E93Ga1ozBXk1qrbGA`转发到`http://192.168.1.18:9003/charge/weChat/getOpenId?code=0c1qrbGa1NRZDF0E93Ga1ozBXk1qrbGA`的配置如下: ```javascript const proxy = require('koa2-proxy'); const proxyOpts = { '/charge/(.*)': { target: 'http://192.168.1.18:9003/', changeOrigin: true, pathRewrite: { '^/charge': '', // rewrite path }, }, }; app.use(proxy(proxyOpts)); ``` 确保你在正确的位置将该配置添加到你的Koa2应用程序中,并确保已经安装了`koa2-proxy`包。 另外,请确保目标服务器(`http://192.168.1.18:9003/`)正在运行,并且可以通过正确的路径(`/charge/weChat/getOpenId?code=0c1qrbGa1NRZDF0E93Ga1ozBXk1qrbGA`)访问。你可以在目标服务器上检查日志以查看是否有任何错误或问题。还要确保你的Koa2应用程序正确地使用了代理中间件,并且没有其他配置或中间件干扰了代理的工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值