利用Immunity Debugger部署钩子

最新推荐文章于 2021-07-24 13:49:53 发布
最新推荐文章于 2021-07-24 13:49:53 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: security 文章标签: 调试 immdbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjhd1989/article/details/8709668
版权
本文介绍如何在Immunity Debugger中部署软钩子和硬钩子,以捕获函数参数和跟踪内存变化。LogBpHook用于在断点触发时不暂停程序并收集信息。FastLogHook则涉及汇编桩,适用于频繁调用的函数。通过实例演示了对printf函数的钩子设置,并提醒了在printf返回值捕获上的挑战。参考PyCommands目录下的相关脚本以了解更多细节。
摘要由CSDN通过智能技术生成
ImmDbg提供了多种钩子。
1. 软钩子

软钩子针对各种不同调试事件发生时调用的,调试事件如断点、异常、加载或卸载dll、创建或销毁进程线程等。

以断点命中时触发钩子LogBpHook为例:

import immlib
from immlib import LogBpHook
import struct

#首先继承LogBpHook定义自己的钩子类,重点实现run函数
class MyHook(LogBpHook):
    def __init__(self):
        LogBpHook.__init__(self)
    def run(self, regs):
		#钩子触发时要执行的任务,regs中保存各个寄存器的值
        imm = immlib.Debugger()
        bytes=imm.readMemory( regs['ESP'] + 4, 0x8) #该处读取8个字节
        (format_addr,arg) = struct.unpack("LL", bytes) #解压bytes为两个4字节的数
        buf = ""
        offset = 0
        while True:
            byte = imm.readMemory(format_addr+offset,1) #读取1个字节
            if byte != '\x00':
                buf += byte
                offset += 1
                continue
            else:
                break
        imm.log("%s %d" % (buf,int(arg))) #输出printf的第一个和第二个参数

#然后在主函数中初始化该类的实例,并绑定函数地址
def main(args):
    imm = immlib.Debugger()
    hook = MyHook()
    func = imm.getAddress("msvcrt.printf") #获得函数printf的地址
    imm.log("%08x" % func)
    hook.add("hookprintf", func) #绑定函数地址
    return 'hook printf'

上面的脚本用于捕获printf函数第一个参数和第二个参数(默认第一个参数为格式化字符串),加载被调试程序后直接运行上面的脚本部署钩子,然后运行程序就可以收集printf参数信息。

值得注意的是,LogBpHook钩子并不会暂停程序,程序会一直执行,断点命中是暗中进行并调用钩子函数完成自动化信息收集。

软钩子的具体用法还可参考PyCommands\hookheap.py

2. 硬钩子

硬钩子适用于对调用频繁的函数下钩子,通过布置一个汇编代码桩(stub)来使得代码执行流在钩子命中时重定向至钩子代码处。

FastLogHook 针对cdecl函数调用约定
STDCALLFastLogHook 针对stdcall函数调用约定

构建硬钩子的框架
imm = immlib.Debugger()
fast = immlib.FastLogHook( imm ) #实例化一个钩子对象
 
fast.logFunction( address, num_arguments )
num_num_arguments为被下钩子函数的参数个数
要在函数头部设置钩子捕获参数,num_num_arguments设置为相应的值
要在函数出口设置钩子,num_num_arguments设置为0

fast.logRegister( register ) 
跟踪特定寄存器的值
register可以是"EAX","EBP","ESP"等

fast.logBaseDisplacement( register, offset) 
一般适合跟踪栈上参数,register设置为"EBP"或"ESP"

fast.logDirectMemory( address ) 

记录内存地址address上的值

只要钩子命中,与之配套的log函数就会触发,它会把所有捕获的数据信息放在专为FastLogHook对象分配内存中
fast.logAll() 可以获得这块内存区域的所有数据记录,为嵌套列表类型,格式如下:
{(hook_address,(arg1,agr2,...)),(hook_address,(arg1,agr2,...)), ...}

还是以捕获printf函数参数为例进行说明。

import immlib
import immutils

DESC = "hook printf" #description

def getRet( imm, addr,  max_opcodes = 300 ):
    for a in range( 0, max_opcodes ):
        op = imm.disasmForward( addr )
        if op.isRet():
##            if op.getImmConst() == 0xC3:
            op = imm.disasmBackward( addr, 2)
            return op.getAddress()
        addr = op.getAddress()
    return 0x0



def unHook( imm ): 
    fast = imm.getKnowledge( "hook_printf" )
    if not fast:
        imm.log( "hook_printf:未能获取钩子记录" )
        return
    if not fast.isHooked():
        imm.log( "hook_printf:未曾安装钩子" )
        return
    if fast.unHook():
        imm.log( "hook_printf:已卸载全部钩子" )
        return
    return

def Hook( imm ):

    msvcrt = imm.getModule( "msvcrt.dll" )
    if not msvcrt:
        imm.log( "cannot find msvcrt.dll module" )
        return
    
    #暂停调试器
    imm.pause()
    #获取printf的地址
    printf_addr = imm.getAddress( "msvcrt.printf" )
    imm.log( "hook printf head at: 0x%08x" % printf_addr)
    
    #确保模块代码已经被调试器分析过
    if not msvcrt.isAnalysed():
        imm.analyseCode( msvcrt.getCodebase() )

    
    #对于printf因为要获取返回值,所以hook在函数尾部
    printf_tail = getRet( imm, printf_addr, 1000 )
    imm.log( "hook printf tail at: 0x%08x" % printf_tail)
    imm.addKnowledge( "hook_printf", (printf_addr,printf_tail) ) #保存钩子的地址
    #获取hook对象
    fast = immlib.FastLogHook( imm )
    #在printf头部设置钩子
    fast.logFunction(printf_addr) #默认两个参数
    fast.logBaseDisplacement( "ESP", 0x04 )#arg1
    fast.logBaseDisplacement( "ESP", 0x08 )#arg2

    #在printf尾部设置钩子
    fast.logFunction(printf_tail)
    fast.logBaseDisplacement( "EBP", -0x20 )#reture value
    
    #启用钩子
    fast.Hook()
    #将取到的数据保存,供以后读取
    imm.addKnowledge( "my_hook", fast, force_add = 1 )
    return

def main(args):
    imm = immlib.Debugger()
    if len(args) == 0:
        fast = imm.getKnowledge( "my_hook" )
        if not fast:
            imm.log( "hook_printf no log data" )
            return
        log_list = fast.getAllLog()
        (printf_head,printf_tail) = imm.getKnowledge("hook_printf")
        for a in log_list:
            if a[0] == printf_head:
                imm.log("printf(0x%08x, 0x%08x)" % \
                        (a[1][0],a[1][1])) #arg1和arg2
            else:
                imm.log("return value is: %d" % a[1][0])
        return ""
    if args[0] == "unhook":
        unHook( imm )
        return ""
    if args[0] == "hook":
        Hook( imm )
        return ""
加载程序,运行脚本!hook_printf.py hook,然后运行程序;

程序结束后,再运行脚本!hook_printf.py,在log窗口即可看到结果。

但是在printf函数尾部设置钩子捕获返回值没有成功(printf的返回值为参数个数,在上例中参数个数必须为2)

硬钩子的具体用法还可参考PyCommands\hippie.py

关于ImmDbg非常好一篇教程:Starting to write Immunity Debugger PyCommands : my cheatsheet

tjhd1989
关注
专栏目录
Python笔记---Immunity Debugger
GuLu_GuLu_jp的专栏
01-16 5062
Immunity Debugger一、介绍Immunity Debugger软件专门用于加速漏洞利用程序的开发,辅助漏洞挖掘以及恶意软件分析。它具备一个完整的图形用户界面,同时还配备了迄今为止最为强的python安全工具库。它巧妙的将动态调试功能与一个强大的静态分析引擎融合于一体,它还附带了一套高度可定制的纯python图形算法,可用于帮助我们绘制出直观的函数体控制流以及函数中的各个基本块。二、安
Python灰帽子学习笔记(二)——Immunity Debugger部署钩子
PoXiaoFeng的博客
05-26 2414
本文利用python灰帽子第六章硬钩子脚本框架,完成对自编译软件printf函数入口、出口的硬钩子部署工作。
python调试工具 immunity_Immunity Debugger
weixin_39771614的博客
12-10 548
2017.11.181.搜索exploit友好指令findinstruction.pyfrom immlib import *def main(args):imm = Debugger()search_code = " ".join(args) #获取要搜索的命令search_bytes = imm.Assemble( search_code ) #函数将汇编指令转化...
Immunity Debugger
weixin_30663471的博客
11-18 667
2017.11.18 1.搜索exploit友好指令 findinstruction.py from immlib import * def main(args): imm = Debugger() search_code = " ".join(args) #获取要搜索的命令 search_bytes = imm.Ass...
JAVA从菜鸟【入门】到新手【实习】一一一一Python:黑客与逆向工程师的Python编程之道
qq_35996868的博客
10-13 693
“黑客”另人敬佩和神往的名称,他们是一类精通计算机本质的一群人,是“大神”技术的诠释。 这次是一本书的推荐,希望能从中参悟一些计算机的“内涵”,让自己对计算机程序能有所领悟。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 我为了进行黑客技术研究而特地学习了Python这门语言,我敢断言在这个领域中的众多其他同行们也
集成电路芯片半导体中英文对照术语词汇表
热门推荐
weixin_45825101的博客
07-24 2万+
英语 中文 1-9   10 gigabit 10 Gb 1st Nyquist zone 第一奈奎斯特区域 3D full‑wave electromagnetic solver 3D 全波电磁解算器 3-state 三态 4th generation segmented routing 第四代分层布线技术 5G commercialization 5G 商用 7 series FPGA 7 系列 FPG
模糊测试--强制性安全漏洞发掘
zxygww的专栏
03-12 2万+
http://blog.csdn.net/lxt889/article/details/18546373 前 言 我知道"人类和鱼类能够和平共处" 。 --George W. Bush, 2000年9月29日 简介 模糊测试的概念至少已经流传了20年,但是直到最近才引起广泛的关注。安全漏洞困扰了许多流行的客户端应用程序,包括Microsoft的Intern
Immunity Debugger 是一款逆向工程调试器,Mona.py 是一个 Windows 平台上的漏洞利用开发辅助工具
01-13
Immunity Debugger 是一款功能强大、灵活可扩展的逆向工程调试器,它在二进制文件分析、漏洞利用和恶意软件分析等方面具有广泛的应用价值。 Mona.py 是一个 Windows 平台上的漏洞利用开发辅助工具,它可以自动化执行...
ImmunityDebugger1.85+mona.py
12-18
免疫调试器用于分析恶意软件,编写漏洞和反向工程二进制文件。该工具建立在一个坚实的用户界面,其中包括功能图表,它是业界首创的分析工具,仅用于构建堆,还有一个庞大且支持Python API的易于扩展性的分析工具。
最新版immunitydebugger 官网下载,保证安全
03-20
Immunity Debugger是一款强大的动态代码分析工具,主要用于软件调试和逆向工程。它为程序员和安全研究人员提供了深入理解程序行为的能力,特别是在分析恶意软件或优化代码时。最新版的Immunity Debugger 1.85提供了...
ImmunityDebugger
最新发布
05-23
2. **OllyDbg兼容**:Immunity Debugger与OllyDbg有着良好的兼容性,OllyDbg是另一款著名的Windows平台下的反汇编调试器,这使得用户能够利用OllyDbg的插件库来扩展Immunity的功能。 3. **反汇编视图**:它提供了...
ImmunityDebugger 1.85 setup
12-30
Download from ... Immunity Debugger is a straightforward application worth having when you need to write exploits, analyze malware and reverse engineer Win32 binaries.
QEMU简单教程(不断更新中...)
12-02 7917
QEMU是一个开源的虚拟机和模拟器,由法国天才程序员Fabrice Bellard  所开发,可以模拟不同的处理器架构(x86,server and embedded PowerPC, and S390 guests)。官网为 http://wiki.qemu.org/Main_Page KVM是构建在QEMU之上的虚拟机,其本身主要是一个Linux内核模块,只不过了整合了QEMU,目前受到
利用virustotal公共API获取病毒样本扫描结果
04-26 2918
virustotal.com网站允许用户上传恶意样本,然后返回46个病毒扫描器的扫描报告。 利用virustotal.com网站提供的公共API,可以编写python脚本自动获取这个扫描报告。 官方网站就有详细的教程 https://www.virustotal.com/en/documentation/public-api/ 首先要注册一个帐号,登录后在帐号Profile下可以发现
Windows下使用二进制插装工具Pin
11-04 2381
Pin是Intel公司提供的一个程序插装工具,支持IA-32,Intel(R) 64和IA64架构上的Linux和Windows可执行程序。 Pin允许一个工具在可执行程序的任何地方插入任意代码(用C或C++编写)。这些代码在程序运行的时候动态添加(修改内存映像)。这也使得可以将Pin附加到进程上。 下载地址:http://software.intel.com/en-us/articles/p
TEMU和Vine的简单用法
11-16 1893
TEMU的用法 首先要创建一个虚拟的系统 qemu-img create -f qcow2 /opt/kvm/winxp.img 10G 创建格式为qcow2大小为10G的虚拟磁盘文件 sudo qemu-system-i386 -hda /opt/kvm/winxp.img -cdrom /opt/kvm/winxp_sp2.iso -boot d  根据镜像iso文件在winxp.img
STP安装与使用
11-02 1607
STP的全称为Simple Theorem Prover,由MIT的Vijay Ganesh领导的小组开发,主要用于约束求解类问题。 官方主页:http://people.csail.mit.edu/vganesh/STP_files/stp.html 安装 官网给出了一个64位的编译文件,但是考虑到很多系统都是32位,所以有必要对源码重新编译安装一次。 安装环境是linux系统(我的是C
Bitblaze动态模块TEMU的安装
11-16 1514
安装环境:ubuntu-11.10  安装过程 tar zxvf temu-1.0.tar.gz 解压后会得到文件夹temu-1.0 在该文件夹的docs目录下有文件install-temu-release.sh,里面提供了所有安装需要的命令 如果安装qemu的命令不能用,可以网上搜搜。 安装gcc-3.4的命令不可用,可以选择deb包安装(源码安装会折腾死人。。。)。 从http
immunity debugger使用
04-06
Immunity Debugger是一款功能强大的调试器,可以用于漏洞分析、漏洞开发以及反恶意软件分析等多种场景。它支持多种平台和体系结构,并且集成了许多优秀的调试工具和脚本,方便用户进行调试和分析。同时,Immunity ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值