第16章-软件逆向工程应用.pptVIP

16.2 IDAPython编程 统计函数入度与出度 from sets import Set ea=ScreenEA() callers=dict() callees=dict() for function_ea in Functions(SegStart(ea),SegEnd(ea)):#遍历当前段中的函数 f_name=GetFunctionName(function_ea)#获取函数名字 callers[f_name]=Set(map(GetFunctionName,CodeRefsTo(function_ea,0)))#调用该函数的所有函数 for ref_ea in CodeRefsTo(function_ea,0):#遍历调用该函数的所有函数 caller_name=GetFunctionName(ref_ea); callees[caller_name]=callees.get(caller_name,Set()) callees[caller_name].add(f_name)# functions=Set(callees.keys()+callers.keys()) for f in functions: print %-4d::%s::%4d%(len(callers.get(f,[])),f,len(callees.get(f,[]))) 16.2 IDAPython编程 统计PE文件中指令频度 mnemonics = dict() ea = ScreenEA() for head in Heads(SegStart(ea), SegEnd(ea)): if isCode(GetFlags(head)): mnem = GetMnem(head) mnemonics[mnem] = mnemonics.get(mnem, 0)+1 mnem_list = map(lambda x:(x[1],x[0]), mnemonics.items()) mnem_list.sort() for cnt, mnem in mnem_list: print mnem, cnt 16.2 IDAPython编程 查找潜在的ROP Gadgets ROP是近几年来流行的一种攻击方式。在早些年，黑客通过各种溢出漏洞来实现任意代码注入和执行，后来由于DEP（数据执行保护）和ASLR（地址空间布局随机化）等保护技术的部署，实现代码注入并执行难度越来越大，于是又流行其了ROP及其各种变种攻击，主要思想是通过控制可执行文件的执行流程，复用可执行文件中已经存在的代码，实现恶意目的并绕过特定的防护技术和系统。目前针对ROP攻击较为有效的防护技术有细粒度/不定期ASLR与CFI（控制流完整性约束）。 ROP攻击首先要利用特定漏洞来实现栈的覆盖，通过覆盖返回地址来实现控制流的修改，重新组合已有的代码来实现恶意目的。 ROP Gadgets是指较短的汇编指令块，一般以ret或其他间接跳转指令（如jmp eax, call eax等等）结束，每个Gadget仅仅实现功能非常有限的运算，但大量的Gadgets链接起来可以实现任意功能。 FindPotentialGadgets.py 16.3 Windows平台软件调试 在Win32中自带了大量API函数，其中一部分被称为Win32调试API（Win32 Debug API），提供了编写调试器所需要的大部分功能。利用这些API可以加载一个程序或捆绑到一个正在运行的程序上以供调试；可以获得被调试的程序的底层信息，例如进程ID、进入地址、映像基址等；甚至可以对被调试的程序进行任意的修改，包括进程的内存、线程的运行环境等。 函数名 功能说明 ContinueDebugEvent 恢复先前由于调试事件而挂起的线程。 DebugActiveProcess 将调试器捆绑到一个正在运行的进程上。 DebugActiveProcessStop 将调试器从一个正在运行的进程上卸载。 DebugBreak 在当前进程中产生一个断点异常，如果当前进程不是处在被调试状态，那么这个异常将被系统例程接管，多数情况下会导致当前进程被终止。与在程序中直接插入。 DebugBreakProcess 在指定进程中产生一个断点异常。 FatalExit 将使调用进程强制退出，将控制权转移至调试器，在退出前会先调用一个 FlushInstructionCache 刷新指令高速缓存 GetThreadContext 获取指定线程的执行环境 GetThreadSelectorEntry 返回指定选择器和线程的描述