灰帽子Python 学习记录 6

最新推荐文章于 2023-06-15 11:47:33 发布
原创 最新推荐文章于 2023-06-15 11:47:33 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了使用Python实现软件中断INT3的过程,包括理论原理、实验步骤及遇到的问题解决方法。实验通过设置INT3中断,成功捕获并处理了一个死循环程序中的中断。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

啊啊啊啊啊今天搞了一天总算tm搞定了


topic:软件中断INT3


首先回顾一下理论原理。INT3中断就是将断点位置的操作码的第一个字符替换为CC,然后将原来的字符保存起来。这样遇到CC开头的就会停下,等中断处理完后再用原来的字符替换回去。


实验:运行print_loop.py,里面的内容为一个死循环,不断地调用msvcrt里的printf函数打印数据。然后找到printf函数的地址,在该处设置软件中断


这里需要用到的api有:

GetModuleHandle:通过dll的名字来获取模块的handle

GetProcAddress:通过handle以及函数名来找到对应函数的地址

ReadProcessMemory:对目标进程的内存进行读取操作

WriteProcessMemory:对目标进程的内存进行写入操作


然后遇到的问题如下:

1. 一开始attach python.exe的时候,一直报50号错误。原因:我装的python3.4为32位的。cmd里调用的python却是之前装的64位python2.7,而32位调试器是没法调试64位程序的。后来手动把print_loop.py放到python34文件夹下调用解决。

2. printf打印出的什么东西,都是L,嗯嗯,跟前面说的一样,换成wprintf 

3. GetModuleHandleA不能获取handle。哎,又是宽字符你懂的,改成GetModuleHandleW

4. GetProcAddress不能获取函数地址。这个函数没有A和W的后缀,但是输入参数里的函数名也是字符串,所以还是要转化为byte编码,输入为func_resolve("msvcrt.dll",b"wprintf")

5. c_data = c_char_p((data[count.value:])) 报错:

TypeError: bytes or integer address expected instead of str instance

这个搞了我好久,原因还是一样,呵呵,data是输入的一个字符串"\xCC",python3默认宽字符编码,转化为byte编码就行了。b"\xCC"


最后贴一下实验结果:

Enter pid:282432
OpenProcess Successful, HANDLE 512
Get Module Handle 1963786240
Get Address: 0x75147960
[*]Address of wprintf: 0x75147960
[*] Setting breakpoint at: 0x75147960
Event Code: 3 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 2 Thread ID: 266556
Event Code: 2 Thread ID: 271532
Event Code: 2 Thread ID: 292040
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 6 Thread ID: 261240
Event Code: 2 Thread ID: 263080
Event Code: 1 Thread ID: 263080
[*] Exception address: 0x77e68d20
[*] Hit the first breakpoint.
Event Code: 4 Thread ID: 263080
Event Code: 1 Thread ID: 261240
[*] Exception address: 0x75147960
[*] Hit user defined breakpoint.
Event Code: 2 Thread ID: 307348
Event Code: 2 Thread ID: 262828
Event Code: 4 Thread ID: 292040
Event Code: 4 Thread ID: 271532
Event Code: 4 Thread ID: 266556
Event Code: 2 Thread ID: 277180
Event Code: 4 Thread ID: 262828
Event Code: 4 Thread ID: 307348
可以看到它找到了wprintf函数的地址0x75147960,随后捕捉并处理(就是打印了出来)了该位置发生的中断。


今天的6个小时告诉我,用python3的字符串一定要记得转换编码

Python帽子学习笔记(一)—— pydbg软钩子部署
PoXiaoFeng的博客
05-25 1287
利用pydbg库实现软钩子挂载,获取并修改目标进程数据。
Python帽子笔记一
Yale的博客
07-21 1029
动态链接库本身是一些经过编译的二进制文件,之在运行时才会被连接进主进程。在windows下这些二进制文件被称为动态链接库(dll),而在linux下这些库文件被称为共享对象(so,shared object)。无论哪种平台,这些二进制文件都是通过导出函数名称的方式来呈现它们所包含的函数。这些由链接库导出的函数名称可以被解析成内存中实际的函数的地址。 函数调用约定(calling conven
python帽子》笔记四
Yale的博客
08-17 743
为了与驱动程序达成交互,我们需要来回地切换于用户态与内核态之间,在windows下我们通过IOCTL(输入/输出控制系统)传送数据信息来实现这一过程。IOCTL充当着用户态下的应用程序与内核态下设备驱动之间沟通的桥梁 几乎每一个windows驱动都在操作系统中注册有一个特定的设备名称以及一个符号链接、用户态下的应用程序为了与某个驱动程序达成通信,首先需要通过符号链接来取得与之相应的句柄
帽子python 读书笔记 1
MarStarck的专栏
05-13 791
论文交上去坐等答辩毕业,于是闲来看看这本书。 书里的代码用python 2.5 + win32系统,我手头的是python3.4 + win64系统,所以会有点不一样,就当做是读后实践的考验了。在这里记录一下遇到的问题,也方便后来参考吧。 废话不多说,第一章,导入ctypes并调用printf。 书中代码: from ctypes import * msvcrt =
python帽子入门_《python帽子学习笔记:调试器设置
weixin_39820136的博客
12-04 130
一、构造 C 数据类型C Type        | Python Type      | ctypes Type_______________________________________________________________________________________char         | 1-character      | string c_charwchar_t ...
Python 帽子笔记之调试器
Teman的博客
03-10 4137
前言:近日阅读《Python帽子-黑客与逆向工程师的Python编程之道》看的我是云里雾里,单单这个调试器就各种Google资料,现在也是懂了点点,感觉做下笔记,以便后续继续学习手写一个调试器有助于我们理解hook、进程注入等底层黑客技术具体实现,在编写过程中需要涉及大量Windows内核编程知识,因此手写调试器也可以作为启发式学习内核编程的任务驱动。要想调试一个程序, 就需要与目标程序建立某种联
Python帽子学习笔记(二)——Immunity Debugger部署硬钩子
PoXiaoFeng的博客
05-26 2543
本文利用python帽子第六章硬钩子脚本框架,完成对自编译软件printf函数入口、出口的硬钩子部署工作。
python学习源码和开发应用技术
07-30
- **Python帽子中文**:此资源聚焦于安全领域的Python编程知识,适合对网络安全感兴趣的读者深入学习。 - **80个Python经典资料(教程+源码+工具)汇总**:这是一个非常全面的学习资源集合,涵盖了从基础到进阶的...
python 最全书籍和笔记
git1314的博客
06-28 2479
我的经历:Python零零散散学了一些(从2016年开始),没有系统学习过,在网上找过一些电子书看过。没能坚持下来。自学最大的痛苦还是一个人难以坚持下来吧。 要找工作了,没能找Python的岗位,可能是自己学得不够好吧,也可能是学历原因吧。现在才发现,学历和技术同样重要,很后悔吧 下面是我曾经看过的一些电子书,分享跟大家 python从入门到实战 链接:https://pan.bai...
python帽子入门_《python帽子学习笔记:写一个windos 调试器(一)
weixin_39779032的博客
12-04 239
lpApplicationName指向一个NULL结尾的、用来指定可执行模块的字符串。这个字符串可以是可执行模块的绝对路径,也可以是相对路径,在后一种情况下,函数使用当前驱动器和目录建立可执行模块的路径。这个参数可以被设为NULL,在这种情况下,可执行模块的名字必须处于 lpCommandLine 参数最前面并由空格符与后面的字符分开。lpCommandLine指向一个以NULL结尾的字符串,该字...
Python帽子中文.pdf
09-20
Python帽子中文.pdf
Python帽子.pdf
05-16
Python帽子Python调试与PythonHOOK
python帽子包含高清扫描和可复制两个版本.zip
05-26
本书是由知名安全机构ImmunityInc的资深黑帽JustinSeitz先生主笔撰写的一本关于编程语言Python如何被广泛应用于黑客与逆向工程领域的书籍.老牌黑客,同时也是Immunity Inc的创始人兼首席技术执行官(CTO)Dave Aitel为本书担任了技术编辑一职。本书的绝大部分篇幅着眼于黑客技术领域中的两大经久不衰的话题:逆向工程与漏洞挖掘,并向读者呈现了几乎每个逆向工程师或安全研究人员在日常工作中所面临的各种场景,其中包括:如何设计?构建自己的调试工具,如何自动化实现烦琐的逆向分析任务,如何设计与构建自己的fuzzing工具,如何利用fuzzing测试来找出存在于软件产品中的安全漏洞,一些小技巧诸如钩子与注入技术的应用,以及对一些主流Python安全工具如PyDbg、Immunity Debugger、Sulley、IDAPython、PyEmu等的深入介绍。作者借助于如今黑客社区中备受青睐的编程语言Python引领读者构建出精悍的脚本程序来——应对上述这些问题。出现在本书中的相当一部分Python代码实例借鉴或直接来源于一些优秀的开源安全项目,诸如Pedram Amini的Paimei,由此读者可以领略到安全研究者?是如何将黑客艺术与工程技术优雅融合来解决那些棘手问题的。   本书适合热衷于黑客技术,特别是与逆向工程与漏洞挖掘领域相关的读者,以及所有对Python编程感兴趣的读者阅读与参考。 目录 第1章 搭建开发环境   1.1 操作系统要求   1.2获取和安装Python 2.5   1.2.1 在Windows下安装Python   1.2.2 在Linux下安装Python   1.3 安装Eclipse和PyDev   1.3.1 黑客挚友:ctype库   1.3.2 使用动态链接库   1.3.3 构建C数据类型   1.3.4 按引用传参   1.3.5 定义结构体和联合体   第2章 调试器原理和设计   2.1 通用寄存器   2.2 栈   2.3 调试事件   2.4 断点   2.4.1 软断点   2.4.2 硬件断点   2.4.3 内存断点   第3? 构建自己的Windows调试器   3.1 Debugee,敢问你在何处   3.2 获取寄存器状态信息   3.2.1 线程枚举   3.2.2功能整合   3.3 实现调试事件处理例程   3.4 无所不能的断点   3.4.1 软断点   3.4.2 硬件断点   3.4.3 内存断点   3.5 总结   第4章 PyDbg——WindoWS下的纯Python调试器   4.1 扩展断点处理例程   4.2 非法内存操作处理例程   4.3 进程快照   4.3.1 获取进程快照   4.3.2汇总与整合   第5章 Immunity Debugger一两极世界的最佳选择   5.1 安装Immunity Debugger   5.2 Immunity Debugger l01   5.2.1 PyCommand命令   5.2.2 PyHooks   5.3 Exploit(漏洞利用程序)开发   5.3.1 搜寻exploit友好指令   5.3.2“坏”字符过滤   5.3.3 绕过Windows下的DEP机制   5.4 破除恶意软件中的反调试例程   5.4 1 lsDebuugerPresent   5.4.2 破除进程枚举例程   第6章 钩子的艺术   6.1 使用PyDbg部署软钩子   6.2 使用Immunity Debugger部署硬钩子   第7章 DLL注入与代码注入技术   7.1 创建远程线程   7.1.1 DLL注入   7.1.2 代码注入   第8章 Fuzzing   第9章 Sulley   第10章 面向Windows驱动的Fuzzing测试技术   第11章 IDAPyrhon——IDA PRO环境下的Pyrhon   第12章 PYEmu——脚本驱动式仿真器
Gray Hat Python帽子学习+python3+win10笔记二
qq_22901753的博客
04-16 543
Gray Hat Python帽子学习+python3+win10笔记二前言方法一:开启一个全新的进程1.原文代码2.执行结果3.原因分析4.代码修改4.运行结果方法二:附加到目标程1.流程图2.代码3.运行结果 前言 创建自己的调试器的两种方法:创建一个新的进程(CreateProcess)和附加到现有线程(OpenProcess) 方法一:开启一个全新的进程 1.原文代码 my_debugger_defines结构体和常量参数定义: from ctypes import * # 为ctype变量
linux上python传递字符串到c或c++时,出现格式错误
weixin_42408280的博客
12-01 4040
python传递字符串到c或c++时,出现格式错误:TypeError: bytes or integer address expected instead of str instance 原因:因为编写的c或者c++中的编码并不是utf-8的,故当你在linux下调用该c或c++函数时就会出现类型不一致。当然,中文的编码时也应该变为utf8。 注:windows编码方式默认是gbk和linux默认是utf8 解决方案: 将传递的字符串改为utf8编码: 如,python下时转换为:"11.jpg
python3调用c函数接口的错误
热门推荐
yuanlulu的博客
04-10 1万+
python2的源码直接在python3.5运行(出错): net = dn.load_net("cfg/yolov3.cfg", "weights/yolov3.weights", 0) ctypes.ArgumentError: argument 1: : wrong type   使用类型转换(出错): net = dn.load_net(c_char_p("cfg/yolo.c
Python TypeError:需要类似字节的对象,而不是“str
.
03-25 397
综上所述,“a bytes-like object is required, not ‘str’”这个错误提示通常出现在Python文件操作中,需要注意文件的打开模式和读写方式,以避免出现类型不匹配的问题。这个错误通常出现在Python2和Python3版本之间的兼容性问题上,Python2中的字符串是默认以ASCII方式进行编码的,而Python3中的字符串则是以Unicode编码存储的。因此,在Python3中进行文件操作时,需要使用“b”模式读取文件,以避免出现TypeError错误。
ctypes python 结构体_Python 中 ctypes 的使用
weixin_39554891的博客
12-16 708
Python 的 ctypes 要使用 C 函数,需要先将 C 编译成动态链接库的形式,即 Windows 下的 .dll 文件,或者 Linux 下的 .so 文件。先来看一下 ctypes 怎么使用 C 标准库。Windows 系统下的 C 标准库动态链接文件为 msvcrt.dll (一般在目录 C:WindowsSystem32 和 C:WindowsSysWOW64 下分别对应 32-b...
如何成为一名黑客?Python帽子和黑帽子带你走进黑客世界
python03011的博客
06-15 2469
如何成为一名黑客?Python帽子和黑帽子带你走进黑客世界
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值