🍱 👨🏽‍🔬 🍝 सिंथेटिक प्रतीक और मॉड्यूल (WinDbg / DbgEng) ✊ 🔜 🎤

यह प्रकाशन विंडोज डीबगिंग इंजन (डीबगर इंजन) के सिंथेटिक मॉड्यूल और प्रतीकों पर केंद्रित होगा। यही है, उन संस्थाओं के बारे में जिन्हें स्मृति पतों को रंगने के लिए डिबगर में कृत्रिम रूप से जोड़ा जा सकता है।

सिंथेटिक मॉड्यूल

सामान्य तौर पर, डिबगर इंजन के ढांचे के भीतर एक मॉड्यूल वर्चुअल मेमोरी का एक निश्चित निरंतर क्षेत्र होता है: मॉड्यूल का आधार पता (अनुमानित फ़ाइल का पहला बाइट का पता) और इसका आकार। डिबगिंग (लाइव डिबगिंग / डंप विश्लेषण, उपयोगकर्ता मोड / कर्नेल मोड, आदि) के प्रत्येक प्रकार के लिए, डिबगर लोड किए गए मॉड्यूल की सूची को पढ़ने और रखने के लिए अपना तंत्र है। अद्यतन किए जाने के लिए लोड किए गए मॉड्यूल की सूची को मजबूर करने का सबसे आसान तरीका / s विकल्प के साथ .reload कमांड है ।

यदि हम उदाहरण के लिए, उपयोगकर्ता मोड प्रक्रिया के लाइव डिबगिंग के बारे में बात करते हैं, तो लोड किए गए मॉड्यूल की सूची लोडर की तीन मुख्य सूचियों के अनुसार बनाई जाती है : मॉड्यूल लोडिंग ऑर्डर की एक सूची (InLoadOrderModuleList), मेमोरी में मॉड्यूल की सूची (InMemoryOrderModuleList) और एक आरंभीकरण प्राथमिकता सूची (In InInadadOrderModuleList)। एक ओर, वहाँ ( लगभग ) कुछ भी नहीं है हमें मनमाना डेटा (डिस्क पर एक पीई फ़ाइल से, उदाहरण के लिए) लेने से रोक रहा है और इसे निष्पादन के लिए स्मृति में चिह्नित कर रहा है। दूसरी ओर, उपरोक्त तीन लोडर सूचियों (मॉड्यूल को छुपाना) से नियमित साधनों से लोड DLL को हटाने की तकनीक लंबे समय से ज्ञात है।

दोनों स्थितियों में, इस स्थिति को डीबग करते समय, छिपे हुए मॉड्यूल के क्षेत्र को चिह्नित करना उपयोगी होगा। इसके लिए, सिंथेटिक मॉड्यूल उपयुक्त हैं। एक व्यावहारिक प्रयोग के रूप में, आप केवल WinDbg लोड किए गए मॉड्यूल को उसी .reload कमांड के साथ आंतरिक सूची से ड्रॉप कर सकते हैं , लेकिन / u विकल्प के साथ ।

इसके अलावा, सूचीबद्ध लिस्टिंग की गुणवत्ता में, मैं उपयोगकर्ता मोड प्रक्रिया (notepad.exe) की सामान्य डीबगिंग का उपयोग करूंगा। सबसे पहले, ntdll मॉड्यूल (0x07ffa8a160000) का आधार पता याद रखें और इसके आकार (0x01e1000) की गणना करें:

0:007> lm m ntdll Browse full module list start end module name 00007ffa`8a160000 00007ffa`8a341000 ntdll 0:007> ? 00007ffa`8a341000-00007ffa`8a160000 Evaluate expression: 1970176 = 00000000`001e1000

एनडीटीएल मॉड्यूल से सरल RtlFreeSid फ़ंक्शन की सूची पर विचार करें, जो इस मॉड्यूल से RtlFreeHeap फ़ंक्शन को कॉल करता है, साथ ही साथ RtlFreeSid और RtlFreeSeap वर्णों के पते (0x7ffa8a1cbc20 और 0x7ffa8a176df0) को याद करता है।

 0:007> uf ntdll!RtlFreeSid ntdll!RtlFreeSid: 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call ntdll!RtlFreeHeap (00007ffa`8a176df0) 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

इसके अलावा, लिस्टिंग के अनुसार, ntdll के आकार की गणना करना आसान है! RtlFreeSid फ़ंक्शन:

 0:007> ? 00007ffa`8a1cbc51 - 0x07ffa8a1cbc20 Evaluate expression: 49 = 00000000`00000031

और ntdll का आकार! RtlFreeHeap फ़ंक्शन हमारे प्रयोग के लिए महत्वपूर्ण नहीं है, इसलिए सरलता के लिए आप इसे एक बाइट के बराबर ले सकते हैं।

अब एनडीटीएल मॉड्यूल को छिपाने का अनुकरण करें:

 0:007> .reload /u ntdll Unloaded ntdll

डीबगर में ntll! RtlFreeSid फ़ंक्शन के पते के साथ इस कार्य का क्षेत्र इतना जानकारीपूर्ण नहीं है (और आप पहले से ही वर्चुअल एड्रेस द्वारा फ़ंक्शन की शुरुआत तक पहुंच सकते हैं):

 0:007> uf 00007ffa`8a1cbc20 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call 00007ffa`8a176df0 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

सिंथेटिक मॉड्यूल जोड़ने के लिए, आपको IDebugSymbols3 :: AddSyntheticModule प्रोग्राम इंटरफ़ेस को कॉल करना होगा । बस कोई अंतर्निहित कमांड नहीं है जो इस कॉल को करने की अनुमति देगा (जहां तक मुझे पता है)। मिखाइल आई। इज़मेस्टेव ने सुझाव दिया कि एक समान तंत्र है - समान .लोड , लेकिन नाम, पता और आकार के मापदंडों के साथ: "मॉड्यूल = पता, आकार" (और, संभवतः, यह सिंथेटिक मॉड्यूल पर लागू किया गया है)।

.reload ntdll = 00007ff8`470e1000,001e1000

 0:007> .reload ntdll=00007ff8`470e1000,001e1000 *** WARNING: Unable to verify timestamp for ntdll *** ERROR: Module load completed but symbols could not be loaded for ntdll 0:007> uf 00007ff8`4714bc20 ntdll+0x6ac20: 00007ff8`4714bc20 4053 push rbx 00007ff8`4714bc22 4883ec20 sub rsp,20h 00007ff8`4714bc26 488bd9 mov rbx,rcx 00007ff8`4714bc29 33d2 xor edx,edx 00007ff8`4714bc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ff8`4714bc34 4c8bc3 mov r8,rbx 00007ff8`4714bc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ff8`4714bc3b e8b0b1faff call ntdll+0x15df0 (00007ff8`470f6df0) 00007ff8`4714bc40 33c9 xor ecx,ecx 00007ff8`4714bc42 85c0 test eax,eax 00007ff8`4714bc44 480f45d9 cmovne rbx,rcx 00007ff8`4714bc48 488bc3 mov rax,rbx 00007ff8`4714bc4b 4883c420 add rsp,20h 00007ff8`4714bc4f 5b pop rbx 00007ff8`4714bc50 c3 ret

खैर, हम डिबगर एक्सटेंशन का उपयोग करेंगे, और यहां pykd बचाव में आएगा । नवीनतम (लेखन के समय) 0.3.4.3 रिलीज में, सिंथेटिक मॉड्यूल के प्रबंधन के लिए फ़ंक्शंस जोड़े गए थे: addSyntheticModule (...) (जो हमारे मामले में आवश्यक है) और removeSyntheticModule (...)।

पहले से सहेजे गए आधार पते और मॉड्यूल आकार का उपयोग करते हुए, हम डिबगर में छिपे हुए ntdll मॉड्यूल के बारे में जानकारी जोड़ते हैं (एक त्रुटि के मामले में, एक अपवाद फेंक दिया जाएगा, इसलिए मौन निष्पादन सफलता का संकेत है, मुद्रण चेतावनी को अनदेखा किया जा सकता है:

 0:007> !py Python 2.7.15 (v2.7.15:ca079a3ea3, Apr 30 2018, 16:30:26) [MSC v.1500 64 bit (AMD64)] on win32 Type "help", "copyright", "credits" or "license" for more information. (InteractiveConsole) >>> addSyntheticModule(0x07ffa8a160000, 0x01e1000, 'ntdll') *** WARNING: Unable to verify timestamp for ntdll >>> exit()

अब disassembler लिस्टिंग थोड़ी अधिक जानकारीपूर्ण हो गई है:

 0:007> uf 00007ffa`8a1cbc20 ntdll+0x6bc20: 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call ntdll+0x16df0 (00007ffa`8a176df0) 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

अधिक सटीक रूप से, हम देखते हैं कि ntdll मॉड्यूल के अंदर फ़ंक्शन एक ही फ़ंक्शन को उसी मॉड्यूल के अंदर कॉल करता है।

सिंथेटिक प्रतीक

एक सिंथेटिक मॉड्यूल को जोड़ने के बाद लिस्टिंग, अधिक जानकारीपूर्ण हो गई है, लेकिन अभी भी मूल के रूप में वाक्पटु नहीं है। इसमें वर्णों की कमी है (हमारे मामले में, फ़ंक्शन का नाम RtlFreeSid और RtlFreeHeap)। इसे ठीक करने के लिए, एक कॉल फिर से आवश्यक है, लेकिन एक अलग प्रोग्राम इंटरफ़ेस - IDebugSymbols3 :: AddSyntheticSymbol । फिर से पक्कड इसके साथ हमारी मदद करने के लिए तैयार:

 0:007> !py Python 2.7.15 (v2.7.15:ca079a3ea3, Apr 30 2018, 16:30:26) [MSC v.1500 64 bit (AMD64)] on win32 Type "help", "copyright", "credits" or "license" for more information. (InteractiveConsole) >>> addSyntheticSymbol(0x07ffa8a1cbc20, 0x31, 'RtlFreeSid') <pykd.syntheticSymbol object at 0x0000014D47699518> >>> addSyntheticSymbol(0x07ffa8a176df0, 1, 'RtlFreeHeap') <pykd.syntheticSymbol object at 0x0000014D476994A8> >>> exit()

परिणाम बहुत कुछ उसी के समान है जो ntdll pdb फ़ाइल से प्रतीकों का उपयोग करते समय किया गया था:

 0:007> uf 00007ffa`8a1cbc20 ntdll!RtlFreeSid: 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call ntdll!RtlFreeHeap (00007ffa`8a176df0) 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

सिंथेटिक संस्थाओं की विशेषताएं

यह ध्यान देने योग्य है कि किसी भी मौजूदा मॉड्यूल में सिंथेटिक प्रतीकों के निर्माण की अनुमति है, और न केवल सिंथेटिक लोगों में। यही है, आप दोनों प्रतीकों को सुलभ पीडीबी-फाइलों के साथ , और उन मॉड्यूलों में जोड़ सकते हैं जिनके लिए हमारे पास डीबगिंग जानकारी वाली फाइलें नहीं हैं। लेकिन आप मॉड्यूल के बाहर वर्ण नहीं बना सकते। यही है, मौजूदा मॉड्यूल की सीमाओं के बाहर एक मनमाने स्मृति पते को चिह्नित करने के लिए, आपको पहले एक लिफाफा सिंथेटिक मॉड्यूल बनाना होगा, और फिर (यदि आवश्यक हो, क्योंकि मॉड्यूल नाम रंग के लिए काफी पर्याप्त हो सकता है) इसमें एक सिंथेटिक प्रतीक बनाएं।

यह भी ध्यान देने योग्य है कि सिंथेटिक मॉड्यूल और प्रतीकों को हाथ के एक लापरवाह आंदोलन के साथ हटाया जा सकता है:

मॉड्यूल के डिबग प्रतीकों को पुनः लोड करने से इस मॉड्यूल के सभी सिंथेटिक प्रतीकों को हटा दिया जाता है;
सभी मॉड्यूल को पुनः लोड करने से सभी सिंथेटिक मॉड्यूल निकल जाएंगे।

सिंटेक्स

हालांकि pykd का उपयोग अधिकांश मामलों में सुविधाजनक है (विशेष रूप से एक बूटस्टैपर की उपस्थिति पर विचार करते हुए), कभी-कभी आप ऐसी स्थिति में पहुंच सकते हैं जहां आपको pykd का उपयोग करने के लिए काफी प्रयास करना होगा। उदाहरण के लिए, मुझे एक बार host'ovy मशीन से डिबग करने की आवश्यकता थी, जिस पर विंडोज एक्सपी ने काम किया था। जैसा कि यह निकला, pykd ने काफी समय से XP का समर्थन नहीं किया है, और मुझे सिंथेटिक पात्रों और मॉड्यूल की आवश्यकता है। यह मुझे लग रहा था कि इस कार्य के लिए एक अलग से छोटे विस्तार को इकट्ठा करना आसान है जो pykd के लिए पूर्ण XP समर्थन को पुनर्स्थापित करने की तुलना में आवश्यक कार्यों की एक संकीर्ण श्रेणी को हल करेगा। नतीजतन, एक अलग परियोजना ! Synexts बनाई गई थी।

यह एक सरल एक्सटेंशन है जिसमें उपयोगकर्ता को दो निर्यात उपलब्ध हैं:

? synexts.addsymbol - किसी भी मौजूदा मॉड्यूल में एक सिंथेटिक प्रतीक बनाता है;
? synexts.addmodule - डीबगिंग इंजन की आंतरिक सूची में एक सिंथेटिक मॉड्यूल बनाता है।

प्रदर्शित करने के लिए, हम फिर से ntdll मॉड्यूल को छिपाने का अनुकरण करते हैं:

 0:007> .reload /u ntdll Unloaded ntdll 0:007> uf 00007ffa`8a1cbc20 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call 00007ffa`8a176df0 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

फिर, हम सिंथेटिक संस्थाओं के रूप में मॉड्यूल और प्रतीकों के ज्ञान को पुनर्स्थापित करते हैं, लेकिन पहले से ही! Synexts एक्सटेंशन का उपयोग कर रहे हैं:

 0:007> !synexts.addmodule ntdll C:\Windows\System32\ntdll.dll 00007ffa`8a160000 0x01e1000 *** WARNING: Unable to verify timestamp for C:\Windows\System32\ntdll.dll Synthetic module successfully added 0:007> !synexts.addsymbol RtlFreeSid 00007ffa`8a1cbc20 31 Synthetic symbol successfully added 0:007> !synexts.addsymbol RtlFreeHeap 00007ffa`8a176df0 1 Synthetic symbol successfully added

यह माना जाता है कि आपने पहले से ही संकलित synexts.dll लाइब्रेरी (WinDbg द्वारा उपयोग की जाने वाली बिट गहराई के अनुरूप) को डिबगर के डाइरेक्ट डायरेक्टरी में कॉपी कर लिया है:

 0:007> .chain Extension DLL search Path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\WINXP;C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext;C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\arcade;C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\pri;C:\Program Files (x86)\Windows Kits\10\Debuggers\x64;<…> Extension DLL chain: pykd.pyd: image 0.3.4.3, API 1.0.0, built Thu Jan 10 19:56:25 2019 [path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\pykd.pyd] synexts: API 1.0.0, built Fri Jan 18 17:38:17 2019 [path: C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\winext\synexts.dll] <…>

और फिर से हम सिंथेटिक मॉड्यूल में सिंथेटिक वर्ण जोड़ने का परिणाम देखते हैं:

 0:007> uf 00007ffa`8a1cbc20 ntdll!RtlFreeSid: 00007ffa`8a1cbc20 4053 push rbx 00007ffa`8a1cbc22 4883ec20 sub rsp,20h 00007ffa`8a1cbc26 488bd9 mov rbx,rcx 00007ffa`8a1cbc29 33d2 xor edx,edx 00007ffa`8a1cbc2b 65488b0c2560000000 mov rcx,qword ptr gs:[60h] 00007ffa`8a1cbc34 4c8bc3 mov r8,rbx 00007ffa`8a1cbc37 488b4930 mov rcx,qword ptr [rcx+30h] 00007ffa`8a1cbc3b e8b0b1faff call ntdll!RtlFreeHeap (00007ffa`8a176df0) 00007ffa`8a1cbc40 33c9 xor ecx,ecx 00007ffa`8a1cbc42 85c0 test eax,eax 00007ffa`8a1cbc44 480f45d9 cmovne rbx,rcx 00007ffa`8a1cbc48 488bc3 mov rax,rbx 00007ffa`8a1cbc4b 4883c420 add rsp,20h 00007ffa`8a1cbc4f 5b pop rbx 00007ffa`8a1cbc50 c3 ret

सिंथेटिक प्रतीक और मॉड्यूल (WinDbg / DbgEng)

सिंथेटिक मॉड्यूल

सिंथेटिक प्रतीक

सिंथेटिक संस्थाओं की विशेषताएं

सिंटेक्स

More articles: