[原创]使用时间无关调试技术(Timeless Debugging)高效分析混淆代码-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]使用时间无关调试技术(Timeless Debugging)高效分析混淆代码

发表于: 2022-5-29 23:33 34270

[原创]使用时间无关调试技术(Timeless Debugging)高效分析混淆代码

krash

2022-5-29 23:33

34270

查看主题内容

收藏・115

免费・36

支持

最新回复 (61) ◀ 1 2 3 ▶
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 26 楼 stlker去trace生成200W行的数据，而且app也是运行在电脑上的，都用了好几分钟，请问，您这个怎么实现这个速度级别的？基础的界面用什么框架或者语言写的？ 2022-6-1 14:53 0
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 27 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 解析load/store相关指令，计算访问内存地址和大小，能说说怎么做的吗？有malloc之类就记录下来地址大小？这方面有相关的代码推荐吗？工具的UI部分用什么框架写的。还是完全自主开发最后于 2022-6-1 20:53 被flashgg编辑，原因： 2022-6-1 20:51 0
那年没下雪雪币： 1133 活跃值： (6144) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 49 粉丝 294 关注私信	那年没下雪 1 28 楼 niubi 2022-6-1 22:00 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 29 楼 flashgg stlker去trace生成200W行的数据，而且app也是运行在电脑上的，都用了好几分钟，请问，您这个怎么实现这个速度级别的？基础的界面用什么框架或者语言写的？回调用户js hook开销太大了吧，理论上应该差不多的。界面是qt，c++实现的。 2022-6-1 22:07 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 30 楼 flashgg krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida ... 解析指令理论上可以直接使用vixl，我后面可能也会改成直接使用vixl。 2022-6-1 22:14 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 31 楼很高兴国内的安全从业者，有如此思考，能够站在巨人的肩膀上前行，研发的这个工具大大提高分析效率，大部分打工仔都只是着眼于眼下的工作了，整日忙碌，缺碌碌无为。为楼主点赞。其实在国内我们最缺的就是分享精神，而分析不单单是给予别人，也会让自己领悟的更透彻。 2022-6-1 23:36 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 32 楼 mark下，lz实现了我想做又一直没有做的事情，羡慕，有能力有时间! 数个问题想了解一下，是用qiling这类，还是qemu自己模拟的? 分析引擎和trace引擎理论上是完全拆分开的两个模块，我的设想是还要有一套固定格式的trace。这样解决跨平台，跨trace工具的问题，之前有了解多套方案，就是行动力太差只有架子没有功能。这个通用格式lz有考虑过吗这类工具受众太小，我辈又往往不擅长推广，要在小范围分享迟早又变成公开工具。lz以后是要自己使用，还是像vmpstudio做付费的国产逆向工具? 2022-6-3 10:49 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 33 楼 XPoy mark下，lz实现了我想做又一直没有做的事情，羡慕，有能力有时间! 数个问题想了解一下，是用qiling这类，还是qemu自己模拟的? 分析引擎和trace引擎理论上是完全拆分开的两个模块， ... trace是frida类，不是qemu。导入第三方工具记录的trace这个问题有考虑过，比如qiling，unidbg，ida，lldb这些。模拟器类的trace都有内存回调，可以记录内存，但是调试器只有cpu上下文，如何通过cpu上下文变化逆推内存内容这个问题还得研究，等以后有方案了可能就会着手实现。至于trace格式我认为倒不是什么问题，遇到了修改即可。工具目前还是自己使用，看能不能用它在公司先搞点kpi。 2022-6-3 19:58 0
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 34 楼 str x8, [x11, w10, uxtw #3] ;x8 = 0xf 如果我想保存x11中存储的内容，怎么才能获取到他里边存储的数据总长度，能说个具体的方法吗 str x8, [x9] ;x8 = 0x16f567310; 这种的还得区分出类型来吧。或者说，你的程序，只算出了[x11, w10, uxtw #3] 的地址，把那个地址跟x8里边的值对应上了。计算地址这块有什么解决方案？需要自己去实现uxtw吗最后于 2022-6-3 22:08 被flashgg编辑，原因： 2022-6-3 21:40 0
v0id_ 雪币： 8416 活跃值： (4991) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 35 楼 krash 用户态函数级别的？如果函数是线程入口就是线程级别的？我设计是支持同时trace多个线程和嵌套trace，也就是trace一个函数时可以调用另外一个trace函数。感谢分享！大佬在trace多线程的时候，是怎么判断当前执行的指令是属于哪个线程的呢，最后生成的trace记录，是按照不同线程分开存放，还是按照指令的执行顺序存放呢 2022-6-4 11:44 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 36 楼或者说，你的程序，只算出了[x11, w10, uxtw #3] 的地址，把那个地址跟x8里边的值对应上了。计算地址这块有什么解决方案？需要自己去实现uxtw吗是这样的，需要自己根据cpu上文计算。最后于 2022-6-4 22:32 被krash编辑，原因： 2022-6-4 22:31 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 37 楼 v0id_ 感谢分享！大佬在trace多线程的时候，是怎么判断当前执行的指令是属于哪个线程的呢，最后生成的trace记录，是按照不同线程分开存放，还是按照指令的执行顺序存放呢我的是函数级别的trace，执行这个函数的时候用gettid就能知道线程。trace保存是分文件保存，设计上支持合并多个trace成一个有序的trace。 2022-6-4 22:35 0
sunfishi 雪币： 8745 活跃值： (5673) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 38 楼 mark 2022-6-5 07:43 0
jackbow 雪币： 319 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	jackbow 39 楼学习，膜拜大佬 2022-6-6 07:03 0
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 57 粉丝 76 关注私信	LeadroyaL 1 40 楼牛逼牛逼牛逼 2022-6-7 16:55 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 41 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 防御方检测的话，放bx指令代码段指令校验能检测出来 :) 2022-6-7 23:44 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 42 楼 DiamondH 时间无关有点RR debugger+coredump的感觉,污点追踪就太猛了，有点好奇技术细节，比如如何实现高效的trace记录，污点追踪采用的方法之类的估计是在每个patch跟踪段指令，blx (注入记录数据的代码段) bx lr 相对比于调试器单步跟踪的开销仅仅是几条指令，调试器需要内核和应用层通信，消耗极大的 2022-6-7 23:47 0
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 26 关注私信	DiamondH 43 楼霸业估计是在每个patch跟踪段指令，blx (注入记录数据的代码段) bx lr 相对比于调试器单步跟踪的开销仅仅是几条指令，调试器需要内核和应用层通信，消耗极大的不是这样的哦，看下stalker实现吧 2022-6-8 15:58 0
moonkit 雪币： 2 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	moonkit 44 楼工具发出来呀。 2022-6-9 14:07 0
bullyxy 雪币： 18 活跃值： (936) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 45 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 大佬插桩库不会也是自己写的吧 2022-6-9 18:17 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 46 楼 bullyxy 大佬插桩库不会也是自己写的吧用vixl自己写 2022-6-9 19:53 0
然川意雪币： 32 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	然川意 47 楼大佬把工具私法给我 2022-6-9 23:08 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 48 楼方便请教大佬一下不用keystone和capstone的原因吗，是性能方面的考量吗 :) 另外如果碰到修改自身代码的壳，动态插桩会失效吧：） 2022-6-10 01:58 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 49 楼 DiamondH 不是这样的哦，看下stalker实现吧 stalker实现确实不是每个指令前插bx，是以块为基本单位，在块前面插bx指令 2022-6-10 12:56 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 50 楼 moonkit 工具发出来呀。这种内部的工具发出来你想多了最后于 2022-6-10 20:10 被霸业编辑，原因： 2022-6-10 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

krash

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) ◀ 1 2 3 ▶
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 26 楼 stlker去trace生成200W行的数据，而且app也是运行在电脑上的，都用了好几分钟，请问，您这个怎么实现这个速度级别的？基础的界面用什么框架或者语言写的？ 2022-6-1 14:53 0
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 27 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 解析load/store相关指令，计算访问内存地址和大小，能说说怎么做的吗？有malloc之类就记录下来地址大小？这方面有相关的代码推荐吗？工具的UI部分用什么框架写的。还是完全自主开发最后于 2022-6-1 20:53 被flashgg编辑，原因： 2022-6-1 20:51 0
那年没下雪雪币： 1133 活跃值： (6144) 能力值： ( LV7，RANK：110 ) 在线值：发帖 18 回帖 49 粉丝 294 关注私信	那年没下雪 1 28 楼 niubi 2022-6-1 22:00 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 29 楼 flashgg stlker去trace生成200W行的数据，而且app也是运行在电脑上的，都用了好几分钟，请问，您这个怎么实现这个速度级别的？基础的界面用什么框架或者语言写的？回调用户js hook开销太大了吧，理论上应该差不多的。界面是qt，c++实现的。 2022-6-1 22:07 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 30 楼 flashgg krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida ... 解析指令理论上可以直接使用vixl，我后面可能也会改成直接使用vixl。 2022-6-1 22:14 0
AJISky 雪币： 269 活跃值： (906) 能力值： ( LV12，RANK：345 ) 在线值：发帖 44 回帖 515 粉丝 21 关注私信	AJISky 7 31 楼很高兴国内的安全从业者，有如此思考，能够站在巨人的肩膀上前行，研发的这个工具大大提高分析效率，大部分打工仔都只是着眼于眼下的工作了，整日忙碌，缺碌碌无为。为楼主点赞。其实在国内我们最缺的就是分享精神，而分析不单单是给予别人，也会让自己领悟的更透彻。 2022-6-1 23:36 0
XPoy 雪币： 242 活跃值： (443) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 279 粉丝 5 关注私信	XPoy 3 32 楼 mark下，lz实现了我想做又一直没有做的事情，羡慕，有能力有时间! 数个问题想了解一下，是用qiling这类，还是qemu自己模拟的? 分析引擎和trace引擎理论上是完全拆分开的两个模块，我的设想是还要有一套固定格式的trace。这样解决跨平台，跨trace工具的问题，之前有了解多套方案，就是行动力太差只有架子没有功能。这个通用格式lz有考虑过吗这类工具受众太小，我辈又往往不擅长推广，要在小范围分享迟早又变成公开工具。lz以后是要自己使用，还是像vmpstudio做付费的国产逆向工具? 2022-6-3 10:49 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 33 楼 XPoy mark下，lz实现了我想做又一直没有做的事情，羡慕，有能力有时间! 数个问题想了解一下，是用qiling这类，还是qemu自己模拟的? 分析引擎和trace引擎理论上是完全拆分开的两个模块， ... trace是frida类，不是qemu。导入第三方工具记录的trace这个问题有考虑过，比如qiling，unidbg，ida，lldb这些。模拟器类的trace都有内存回调，可以记录内存，但是调试器只有cpu上下文，如何通过cpu上下文变化逆推内存内容这个问题还得研究，等以后有方案了可能就会着手实现。至于trace格式我认为倒不是什么问题，遇到了修改即可。工具目前还是自己使用，看能不能用它在公司先搞点kpi。 2022-6-3 19:58 0
flashgg 雪币： 49 活跃值： (2203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 40 粉丝 1 关注私信	flashgg 34 楼 str x8, [x11, w10, uxtw #3] ;x8 = 0xf 如果我想保存x11中存储的内容，怎么才能获取到他里边存储的数据总长度，能说个具体的方法吗 str x8, [x9] ;x8 = 0x16f567310; 这种的还得区分出类型来吧。或者说，你的程序，只算出了[x11, w10, uxtw #3] 的地址，把那个地址跟x8里边的值对应上了。计算地址这块有什么解决方案？需要自己去实现uxtw吗最后于 2022-6-3 22:08 被flashgg编辑，原因： 2022-6-3 21:40 0
v0id_ 雪币： 8416 活跃值： (4991) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 35 楼 krash 用户态函数级别的？如果函数是线程入口就是线程级别的？我设计是支持同时trace多个线程和嵌套trace，也就是trace一个函数时可以调用另外一个trace函数。感谢分享！大佬在trace多线程的时候，是怎么判断当前执行的指令是属于哪个线程的呢，最后生成的trace记录，是按照不同线程分开存放，还是按照指令的执行顺序存放呢 2022-6-4 11:44 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 36 楼或者说，你的程序，只算出了[x11, w10, uxtw #3] 的地址，把那个地址跟x8里边的值对应上了。计算地址这块有什么解决方案？需要自己去实现uxtw吗是这样的，需要自己根据cpu上文计算。最后于 2022-6-4 22:32 被krash编辑，原因： 2022-6-4 22:31 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 37 楼 v0id_ 感谢分享！大佬在trace多线程的时候，是怎么判断当前执行的指令是属于哪个线程的呢，最后生成的trace记录，是按照不同线程分开存放，还是按照指令的执行顺序存放呢我的是函数级别的trace，执行这个函数的时候用gettid就能知道线程。trace保存是分文件保存，设计上支持合并多个trace成一个有序的trace。 2022-6-4 22:35 0
sunfishi 雪币： 8745 活跃值： (5673) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 38 楼 mark 2022-6-5 07:43 0
jackbow 雪币： 319 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	jackbow 39 楼学习，膜拜大佬 2022-6-6 07:03 0
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 57 粉丝 76 关注私信	LeadroyaL 1 40 楼牛逼牛逼牛逼 2022-6-7 16:55 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 41 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 防御方检测的话，放bx指令代码段指令校验能检测出来 :) 2022-6-7 23:44 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 42 楼 DiamondH 时间无关有点RR debugger+coredump的感觉,污点追踪就太猛了，有点好奇技术细节，比如如何实现高效的trace记录，污点追踪采用的方法之类的估计是在每个patch跟踪段指令，blx (注入记录数据的代码段) bx lr 相对比于调试器单步跟踪的开销仅仅是几条指令，调试器需要内核和应用层通信，消耗极大的 2022-6-7 23:47 0
DiamondH 雪币： 1114 活跃值： (2094) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 56 粉丝 26 关注私信	DiamondH 43 楼霸业估计是在每个patch跟踪段指令，blx (注入记录数据的代码段) bx lr 相对比于调试器单步跟踪的开销仅仅是几条指令，调试器需要内核和应用层通信，消耗极大的不是这样的哦，看下stalker实现吧 2022-6-8 15:58 0
moonkit 雪币： 2 活跃值： (430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	moonkit 44 楼工具发出来呀。 2022-6-9 14:07 0
bullyxy 雪币： 18 活跃值： (936) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 3 关注私信	bullyxy 45 楼 krash 我使用的是动态二进制插桩(dynamic binary instrumentation)，跟frida stalker一样，frida有个很不错的文档stalker，可以参考。稍微麻烦一点是得自己解析 ... 大佬插桩库不会也是自己写的吧 2022-6-9 18:17 0
krash 雪币： 3836 活跃值： (4218) 能力值： ( LV9，RANK：180 ) 在线值：发帖 7 回帖 68 粉丝 245 关注私信	krash 4 46 楼 bullyxy 大佬插桩库不会也是自己写的吧用vixl自己写 2022-6-9 19:53 0
然川意雪币： 32 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	然川意 47 楼大佬把工具私法给我 2022-6-9 23:08 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 48 楼方便请教大佬一下不用keystone和capstone的原因吗，是性能方面的考量吗 :) 另外如果碰到修改自身代码的壳，动态插桩会失效吧：） 2022-6-10 01:58 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 49 楼 DiamondH 不是这样的哦，看下stalker实现吧 stalker实现确实不是每个指令前插bx，是以块为基本单位，在块前面插bx指令 2022-6-10 12:56 0
霸业雪币： 7 活跃值： (496) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 4 关注私信	霸业 50 楼 moonkit 工具发出来呀。这种内部的工具发出来你想多了最后于 2022-6-10 20:10 被霸业编辑，原因： 2022-6-10 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复