使用 Python 来自动化 gdb 调试
2024-02-10 #re #gdb #python在工作中碰到了很多地方只能用 gdb 进行调试,并且得进行很多冗余的操作。经过资料查询后发现,可以使用 Python 对 gdb 进行 api 调用,但是网上相关文档比较的少,所以本文将记录一些相关操作。
相关 API 介绍
基本操作
gdb.execute (command [, from_tty [, to_string]])
执行 gdb 命令。
gdb.parse_and_eval (expression)
解析一个表达式,并返回一个 gdb.Value
值。
Breakpoint
通过类似下面的 Python 代码即可实现一个自定义的断点,并可以通过继承的方法进行相应的操作。例如下面的代码中可以在 stop
函数中加入断点到达时执行一些操作,最后通过初始化类实现在 func_name
下断点。
pass
Inferiors
在 gdb 下运行的程序被称为 inferiors
。
gdb.selected_inferior ()
返回当前 inferior
。
Inferior.read_memory (address, length)
从 address 地址处读取 length 长度的字节,函数的返回类型为 memoryview。
Inferior.write_memory (address, buffer [, length])
往 address 地址写入 buffer 的内容。
Inferior.search_memory (address, length, pattern)
在 address 处搜索 pattern 的内容。
实战
在函数处读取某个结构体的相关值
我手里拿到了一份编译后的 yara 规则库,希望能知道这份 yara 规则库里包含了哪些规则,但是这个规则库没法被自己编译的 yara 加载,于是通过代码找到了在执行规则库时的遍历规则语句,并通过 IDA 在 ELF 可执行文件中找到了相似代码。
YR_API int
IDA 下看到的相关规则载入语句。
.text:0000000000050B18 mov rax, [rsp+888h+var_860]
.text:0000000000050B1D xor ebx, ebx
.text:0000000000050B1F mov r14d, 1Ch
.text:0000000000050B25 mov rbp, [rax+8]
.text:0000000000050B29 mov eax, [rbp+0]
.text:0000000000050B2C test al, 4
.text:0000000000050B2E jnz loc_50E29
.text:0000000000050B34 nop dword ptr [rax+00h]
结合反编译结果,可以确认 YR_RULE
结构体地址被载入了 $rbp 寄存器中,结合 yara 代码,编写出下面语句提取规则名字。下面的 Python 代码是在读取 rbp 寄存器的值,并且计算出每个 YR_RULE
的地址,并读取结构体中的指针,从而获取成员的值。
需要注意的是,下断点位置的代码在断点到达时还未被执行,所以我们需要在 0x50B25 的后一条语句 0x50B29 处下断点,这样 rbp 寄存器中才会存入相应的值。
=
return
# yr_scanner_scan_mem_blocks
=
=
= + * 6 * 8
= + 8
= + 24
=
=
=
=
=
实现类似 gdb-peda 一样的信息输出
可以通过下面的语句设置 hook,实现在每一次到达断点时候执行 Python 代码。然后在 Python 代码中可以实现输出寄存器的值,输出内存中内容,输出指针指向等内容。
define hook-stop
python run()
end
本人实现的脚本比较长,而且代码质量不太行,不过我还是上传到了这里,可以供读者参考。
总结
gdb + python 这个组合能发挥出很大的威力,能做到自动化调试,减少逆向工程负担。更多的操作可以查看 gdb 的官方文档。