灰帽 Python之旅4.docVIP

4 PyDBG---纯PYTHON调试器 话说上回我们讲到如何在windows下构造一个用户模式的调试器，最后在大家的不懈努力下，终于历史性的完成了这一伟大工程。这回，咱们该去取取经了，看看传说中的PyDbg。传说又是传说，别担心，这个传说是真的，我用人格担保。PyDbg出生于2006年，出生地Montreal, Quebec，父亲Pedram Amini，担当角色：逆向工程框架PaiMei的核心组件。现在PyDbg已经用于各种各样的工具之中了，其中包括Taof （非常流行的fuzzer代理）ioctlizer（作者开发的一个针对windwos驱动的fuzzer）。如此强大的东西，不用就太可惜了（Python的好处就是别人有的你也会有）。首先用它来扩展下断点处理功能。接着干些高级的活：处理程序崩溃，进程快照还有将来Fuzz需要用的东西。现在就开工，开工，速度开工！ 4.1 扩展断点处理 在前面的章节中我们讲解了用事件处理函数处理调试事件的方法。用PyDbg可以很容易的扩展这种功能，只需要构建一个用户模式的回调函数。当收到一个调试事件的时候，回调函数执行我们定义的操作。比如读取特定地址的数据，设置更更多的断点，操作内存。操作完成后，再将权限交还给调试器，恢复被调试的进程。 PyDbg设置函数的断点原型如下： bp_set(address, description=,restore=True,handler=None) address是要设置的断点的地址，description参数可选，用来给每个断点设置唯一的名字。restore决定了是否要在断点被触发以后重新设置，handler指向断点触发时候调用的回调函数。断点回调函数只接收一个参数，就是pydbg()类的实例化对象。所有的上下文数据，线程，进程信息都在回调函数被调用的时候，装填在这个类中。 以printf_loop.py为测试目标，让我们实现一个自定义的回调函数。这次我们在printf()函数上下断点，以便读取printf()输出时用到的参数counter变量，之后用一个1到100的随机数替换这个变量的值，最后再打印出来。记住，我们是在目标进程内处理，拷贝，操作这些实时的断点信息。这非常的强大！新建一个printf_random.py文件，键入下面的代码。 #printf_random.py from pydbg import * from pydbg.defines import * import struct import random # This is our user defined callback function def printf_randomizer(dbg): # Read in the value of the counter at ESP + 0x8 as a DWORD parameter_addr = dbg.context.Esp + 0x8 counter = dbg.read_process_memory(parameter_addr,4) # When we use read_process_memory, it returns a packed binary # string. We must first unpack it before we can use it further. counter = struct.unpack(L,counter)[0] print Counter: %d % int(counter) # Generate a random number and pack it into binary format # so that it is written correctly back into the process random_counter = random.randint(1,100) random_counter = struct.pack(L,random_counter)[0] # Now swap in our random number and resume the process dbg.write_process_memory(parameter_addr,random_counter) return DBG_CONTINUE # Instantiate the pydbg class dbg = pydbg() # Now enter the PID of the pr