ctypes是Python语言的一个外部库,提供和C语言兼容的数据类型,可以很方便的调用C DLL中的函数。
操作环境:CentOS6.5
Python版本:2.66
ctypes是强大的,强大到本书以后介绍的几乎所有库都要基于此。使用它我们就能够调用动态链接库中函数,同时创建各种复杂的C数据类型和底层操作函数。毫无疑问,ctypes就是本书的基础。
第一章 搭建开发环境
1.3.2 使用动态链接库
from ctypes import * libc = CDLL("libc.so.6") message_string = "Hello world! " libc.printf("Testing:%s",message_string)
[root@evilxr python_test]# python huimao.py Testing:Hello world!
1.3.3 构造C数据类型
使用Python创建一个C数据类型很简单,你可以很容易的使用由C或者C++些的组件。下面显示了三者之间的对于关系。
_______________________________________________________________________________ C Type Python Type ctypes Type _______________________________________________________________________________ char 1-character string c_char wchar_t 1-character Unicode string c_wchar char int/long c_byte char int/long c_ubyte short int/long c_short unsigned short int/long c_ushort int int/long C_int unsigned int int/long c_uint long int/long c_long unsigned long int/long c_ulong long long int/long c_longlong unsigned long long int/long c_ulonglong float float c_float double float c_double char * (NULL terminated) string or none c_char_p wchar_t * (NULL terminated) unicode or none c_wchar_p void * int/long or none c_void_p
1.3.5 定义结构体和联合
from ctypes import * class barley_amount(Union): _fields_ = [ ("barley_long", c_long), ("barley_init", c_int), ("barley_char", c_char*8), ] value = raw_input("Enter the amount of barey to put into the beer vat:") my_barley = barley_amount(int(value)) print "Barley amount as a long:%ld"% my_barley.barley_long print "Barley amount as an int:%d" % my_barley.barley_long print"Barley amount as a char:%s" % my_barley.barley_char
结果:
[root@evilxr huimao]# python 1.py Enter the amount of barey to put into the beer vat:67 Barley amount as a long:67 Barley amount as an int:67 Barley amount as a char:C
其中67是C的ASCII码。
第二章 调试器设计
a.黑盒测试与白盒测试
许多的开发平台都会包含一个自带的调试器,允许开发工具结合源代码对程序进行精确的跟踪测试。这就是白盒调试。当我们很难得到源代码的时候,开发者,逆向工程师,Hacker就会应用黑盒调试跟踪目标程序。黑盒调试中,被测试的软件对黑客来说是不透明的,唯一能看到的就是反汇编代码。这时候要分析出程序的运作流程,找出程序的错误将变得更复杂,花费的时间也会更多。但是高超的逆向技术集合优秀的逆向工具将使这个过程变得简单,轻松,有时候善于此道的黑客,甚至比开发者更了解软件:)。
b.黑盒测试的两种模式
用户模式 和 内核模式。用户模式(通常指的是ring3级的程序)是你平时运行用户程序的一般模式(普通的程序)。用户模式的权限是最低的。当你运行“运算器(cacl.exe)[Windows]、bc[Linux]”的时候,就会产生一个用户级别的进程;对这个进程的调试就是用户模式调试。核心模式的权限是最高的。这里运行着操作系统内核,驱动程序,底层组件。当运行Wireshark嗅探数据包的时候,就是和一个工作在内核的网络驱动交互。如果你想暂停驱动或者检测驱动状态,就需要使用支持内核模式的调试器了。
c.PyDbg和Immunity
PyDbg (byPedram Amini)和Immunity Debugger (from Immunity, Inc.)。PyDbg 是一个纯Python实现的调试器,让黑客能够用Python语言全面的控制一个进程,实现自动化调试。Immunity调试器则是一个会让你眼前一亮的调试器,界面相当的友好,类似OllyDbg,但是拥有更强大的功能以及更多的Python调试库。这两个调试器在本书的后面章节将会详细的介绍。现在先让我们深入了解调试器的一般原理。
2.1通用CPU寄存
CPU的寄存器能够对少量的数据进行快速的存取访问。在x86指令集里,一个CPU有八个通用寄存器:EAX, EDX, ECX, ESI, EDI, EBP, ESP和 EBX。还有很多别的寄存器,遇到的时候具体讲解。这八个通用寄存器各有不同的用途,了解它们的作用对于我们设计调试器是至关重要的。让我们先简略的看一看每个寄存器和功能。最后我们将通过一个简单的实验来说明他它们的使用方法。 EAX寄存器也叫做累加寄存器,除了用于存储函数的返回值外也用于执行计算的操作。许多优化的x86指令集都专门设计了针对EAX寄存器的读写和计算指令。列如从最基本的加减,比较到特殊的乘除操作都有专门的EAX优化指令。 前面我们说了,函数的返回值也是存储在EAX寄存器里。这一点很重要,因为通过返回的EAX里的值我们可以判断函数是执行成功与否,或者得到确切返回值。 EDX寄存器也叫做数据寄存器。这个寄存器从本质上来说是EAX寄存器的延伸,它辅助EAX完成更多复杂的计算操作像乘法和除法。它虽然也能当作通用寄存器使用,不过更多的是结合EAX寄存器进行计算操作。 ECX寄存器,也叫做计数寄存器,用于循环操作,比如重复的字符存储操作,或者数字统计。有一点很重要,ECX寄存器的计算是向下而不是向上的(简单理解就是用于循环操作时是由大减到小的)。 看一下下面的Python片段: ___________________________________________________________________________ counter = 0 while counter < 10: print "Loop number: %d" % counter counter += 1 _______________________________________________________________________________ 如果你把这代码转化成汇编代码,你会看到第一轮的时候ECX将等于10,第二轮的时候等于9,如此反复知道ECX减少到0。这很容易让人困惑,因为这和Python的循环刚好代码相反,但是只要记得ECX是向下计算的就行了。 在x86汇编里,依靠ESI和EDI寄存器能对需要循环操作的数据进行高效的处理。ESI寄存器是源操作数指针,存储着输入的数据流的位置。EDI寄存器是目的操作数指针,存储了计算结果存储的位置。简而言之,ESI(source index)用于读,EDI(destination index)用于写。用源操作数指针和目的操作数指针,极大的提高了程序处理数据的效率。 ESP 和 EBP 分别是栈指针和基指针。这两个寄存器共同负责函数的调用和栈的操作。当一个函数被调用的时候,函数需要的参数被陆续压进栈内最后函数的返回地址也被压进。ESP指着栈顶,也就是返回地址。EBP则指着栈的底端。有时候,编译器能够做出优化,释放EBP,使其不再用于栈的操作,只作为普通的寄存器使用。 EBX是唯一一个没有特殊用途的寄存器。它能够作为额外的数据储存器。 还有一个需要提及的寄存器就是EIP。这个寄存器总是指向马上要执行的指令。当CPU执行一个程序的成千上万的代码的时候,EIP会实时的指向当前CPU马上要执行到的位置。 一个调试器必须能够很方便的获取和修改这些寄存器的内容。每一个操作系统都提供了一个接口让调试器和CPU交互,以便能够获取和修改这些值。
2.2 栈
在开发调试器的时候,栈是一个非常重要的结构。栈存储了与函数调用相关的各种信息,包括函数的参数和函数执行完成后返回的方法。ESP负责跟踪栈顶,EBP负责跟踪栈底。栈从内存的高地址像低地址增长。 调试器对堆栈结构的捕捉能力是相当有用的,特别是在我们捕捉程序崩溃,跟踪调查基于栈的缓冲区溢出的时候。
2.3 调试事件
调试器在调试程序的时候会一直循环等待,直到检测到一个调试事件的发生。当调试事件发生的时候,就会调用一个与之对应的事件处理函数。处理函数被调用的时候,调试器会暂停程序等待下一步的指示。
以下的这些事件是一个调试器必须能够捕捉到的(也叫做陷入):
· 断点触发 · 内存违例(也叫做访问违例或者段错误) · 程序异常 每个操作系统都使用不同的方法将这些事件传递给调试器,这些留到操作系统章节详细介绍 。部分的操作系统,能捕捉(陷入)更多的事件,比如在线程或者进程的创建以及动态链接库的加载的时候。 一个优秀的调试器必须是可定制脚本的,能够自定义事件处理函数从而对程序进行自动化调试。举个例子,一个内存访问违例产生的缓冲区溢出,对于黑客来说相当的有趣。如果在平时正常的调试中你就必须和调试器交互,一步一步的收集信息。但是当你使用定制好的脚本操作调试器的时候,它就能够建立起相对应的事件处理函数,并自动化的收集所有相关的信息。这不仅仅节省了时间,还让我们更全面的控制整个调试过程。
2.4断点
当我们需要让被调试程序暂停的时候就需要用到断点。通过暂停进程,我们能观察变量,堆栈参数以及内存数据,并且记录他们。断点有非常多的好处,当你调试进程的时候这些功能会让你觉得很舒爽。断点主要分成三种:软件断点,硬件断点,内存断点。他们有非常相似的工作方式,但实现的手段却各不相同。