1.【Windbg】学习及在CTF中解题
2.cè¯è¨å¦ä½è°è¯
【Windbg】学习及在CTF中解题
Windbg是调试调试一款强大的Windows调试工具,专为0和3环程序的源码源代分析和调试设计,对于定位和修复程序错误至关重要。调试调试它由微软开发,源码源代具有丰富的调试调试resteasy 源码分析功能,适用于软件开发、源码源代个人空间源码故障排除和性能优化。调试调试
安装Windbg 时,源码源代需先下载Windows SDK,调试调试然后按照相关教程进行安装。源码源代其内置的调试调试help文档提供了详尽的使用指导。系统崩溃时,源码源代.dmp文件会记录内存映像,调试调试智联招聘源码帮助我们理解程序的源码源代执行状态,而pdb文件则是调试调试存储调试符号信息,便于将二进制地址映射回源代码。
Windbg的稻草人源码基础命令包括查看数据的dt,如查看变量信息;执行与调试的bp(设置断点)、g(运行程序)、u(反汇编)、r(查看寄存器)等;以及辅助分析的qq群排名源码.sympath(符号加载)和.load(导入插件)。利用!py mona这样的扩展功能,可以进行漏洞挖掘和ROP Chain的生成。
在实际的CTF解题中,比如一道涉及内存分析的题目,可以使用Windbg Preview分析dmp文件。通过命令如!analyze -v深入查找崩溃原因,查看加载的模块,利用pdb排除系统dll,通过内存布局分析可疑dll,最终找到隐藏的flag。
cè¯è¨å¦ä½è°è¯
ç®åæ¥è¯´ï¼æ两ç§æ¹å¼:ä¸ç§æ¯æºç debugï¼å³åææºç æ¥æ¾åºbugä½ç½®ï¼ä¸è¬ä½¿ç¨printf()æå°åºç¨åºæ§è¡æ¯ä¸æ¥çä¿¡æ¯;
ä¸ç§æ¯å¯æ§è¡æ件debugï¼éè¦ä½¿ç¨è°è¯å¨æ¥è¿è¡ã
1ãæºç debug
类似äºä¸é¢çæºç ï¼ä¸»è¦éè¿ç¨åºæ§è¡æ¶è¾åºçä¿¡æ¯ï¼æ¥å®ä½bugåºç°çä½ç½®ï¼ç¶ååä¿®æ¹æºç ã
#include <stdio.h>
void f() { ; }
int main()
{
#ifdef _DEBUG
printf("start main function!\n");
#endif
void f();
#ifdef _DEBUG
printf("leave main function !\n");
#endif
return 0;
}
2ãå¯æ§è¡æ件è°è¯ï¼windowså¹³å°å¸¸ç¨çå°±æ¯vs/vcèªå¸¦çè°è¯ï¼å¦å¤ä¸ä¸ªå°±æ¯å¾®è½¯èªå®¶å¼åçè°è¯å¨windbgãLinuxå¹³å°ä»¥gdb为常ç¨ã
IDEèªå¸¦çè°è¯å¨ä»¥VC6.0为ä¾ï¼ç¼åå®ä»£ç åï¼æå¿«æªé®çFï¼å³å¯è¿å ¥è°è¯ï¼æ¤æ¶å³é®ï¼éæ©âgo to disassembly"å³å¯æ¥çå°ç¨åºçåæ±ç¼ä»£ç ãä¸è¬è¿ç§æ åµï¼ä¸»è¦æ¯ä¸ºäºå¯¹Cè¯è¨è¿è¡åæ±ç¼å¦ä¹ ã
Windbgçåè½é常å¤ï¼å¯ä»¥è¿è¡æºç è°è¯ãå¯ä»¥è°è¯å¯æ§è¡æ件ãè¿å¯ä»¥è¿è¡å æ ¸è°è¯ï¼ä¹å¯ä»¥è°è¯dumpæ件ï¼ç¨çå¤äºï¼èªç¶çæï¼è¦è°è¯å¯æ§è¡æ件ï¼åªéè¦ç¹å»âFile"å¨å¼¹åºç对è¯æ¡ä¸éæ©âOpen Executeable"ï¼ç¶åæ¾å°èªå·±è¦è°è¯çç¨åºå³å¯ã
Linux常ç¨çæ¯Gdbè°è¯å¨ï¼å¼å¾æ³¨æçæ¯ï¼è¦ä½¿ç¨gdbè°è¯ï¼å¨ä½¿ç¨gccæè g++ç¼è¯C/c++æ件æ¶ï¼éè¦æ·»å -gåæ°æå¯ä»¥çæ符å·è¡¨ãä¸å¾æ¯ç¨gdbåæC++ä¸åéåå¸çä¸å¼ æªå¾ï¼å¤§ä½ä¸çä¸ä¸é¿ä»ä¹æ ·ï¼ç¨çå¤äºèªç¶çæï¼ä¸éè¦å¯ä»¥å»å¦ä¹ ã