-
-
[分享][分享]Linux ECFS及Core dump
-
2020-9-10 21:56
3772
-
[分享][分享]Linux ECFS及Core dump
ECFS 使得对程序的运行时分析比以前更加简单。整个进程都被包含
在一个单独的文件中,通过有序且有效的组织形式,使得定位和访问对检测
异常或感染至关重要的数据和代码非常方便。可以通过解析节头来访问一些
有用的数据,如符号表、动态链接库,以及取证分析相关的数据结构来实现。
Core dump核心转储文件,一些信号的处理方式,会生成一个elf格式的文件,用来分析进程崩溃情况。core dump核心转储文件就是将所有的vma都映射成一个elf的段,然后生成一个可执行文件。注意,核心转储文件并不会包含代码段,因此使用gdb调试核心转储文件的时候需要源代码,除了内存段之外,还会在文件的头部加上一个note段,这个note段的信息包括信号信息(当前造成core dump的信号,pending的信号等待),各种时间(系统时间,进程各种执行时间等等),寄存器信息,使用eu-readelf -n可以显示核心文件的note段信息,包含寄存器状态,辅助向量,进程各个id、信号信息和文件映射等。
ecfs在原core dump文件的基础上增加一个note段,放入其他的信息,包括打开文件列表,proc/pid目录下的信息压缩,文件路径等,由于coredump文件只会生成一个页大小的代码,ecfs还会根据原可执行文件来完整的拔下代码段,还会进行注入代码的标注,根据maps文件的映射库路径找到库文件,判断是库还是注入代码。
整个 ECFS 工程和源码都可以从 http://github.com/
elfmaster/ecfs 进行下载。使用 git 复制完仓库之后,可以根据 README
文件的描述编译并安装 ECFS。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
