python灰帽子--自己动手写调试器

最新推荐文章于 2022-12-06 15:55:38 发布
最新推荐文章于 2022-12-06 15:55:38 发布
阅读量2.7k 收藏 6
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15727809/article/details/55301149
一、为了对一个进程进行调试,你必须手写用一些方法把调试器和进程链接起来。所以我们的调试器可以有两种:
     (1)装载一个可执行程序然后运行它
     (2)动态的附加到一个运行的进程。
      优点:
      (1)在于他能在程序运行任何代码之前完全的控制程序,这对分析病毒或恶意代码很有用。
      (2)附加到一个进程,它允许你跳过启动部分的代码,分析你感兴趣的代码,你分析的就是程序执行的地方

二、方法(1)、首先在windows上创建一个进程用CreateProcessA()函数。需要将特定的标志传进这个函数,使得目标进程能够调试。
      BOOL WINAPI CreateProcessA(
                    LPCSTR lpApplicationName,需要执行的程序的路径
                    LPTSTR lpCommandLine,我们希望传递给程序的参数
                    ,,,
                    ,,,
                   ,,,
                   DWORD dwCreationFlags,接受一个特定的值,表示我们希望程序以被调试的状态启动
                   ,,,
                   LPSTARTUPINFO lpStartupInfo,该结构用来在创建子进程时设置各种属性
                   LPPROCESS_INFORMATION lpProcessInformation)该结构用来在进程创建后接受相关信息。

建立3个文件。my_debugger_defines1.py用于存放常量,结构体等。my_debugger1.py用于存放程序代码。my_test1.py用于测试
my_debugger_defines1.py 
#-*-coding:utf-8-*-
from ctypes import *
WORD = c_ushort
DWORD = c_ulong
LPBYTE = POINTER(c_ubyte)
LPTSTR = POINTER(c_char)
HANDLE = c_void_p

#常量
DEBUG_PROCESS = 0x00000001#与父进程公用一个控制台(以子进程的方式运行)
CREATE_NEW_CONSOLE = 0x00000010#独占一个控制台(以单独的进程运行)

#结构体
class STARTUPINFO(Structure):
    _fields_ = [
        ("cb",DWORD),
        ("lpReserved",LPTSTR),
        ("lpTitle",LPTSTR),
        ("dwX",DWORD),
        ("dwY",DWORD),
        ("dwXSize",DWORD),
        ("dwYSize",DWORD),
        ("dwXCountChars",DWORD),
        ("dwYCountChars",DWORD),
        ("dwFillAttribute",DWORD),
        ("dwFlags",DWORD),
        ("wShowWindow",WORD),
        ("cbReserved2",WORD),
        ("lpReserved2",WORD),
        ("hStdInput",HANDLE),
        ("hStdOutput",HANDLE),
        ("hStdError",HANDLE),
    ]

class PROCESS_INFORMATION(Structure):
    _fields_ = [
        ("hProcess",HANDLE),
        ("hThread",HANDLE),
        ("dwProcessId",DWORD),
        ("dwThreadId",DWORD),
    ]

my_debugger1.py 
#-*-coding:utf-8-*-
from ctypes import *
from my_debugger_defines1 import *
kernel32 = windll.kernel32

class debugger():
    def __init__(self):
        pass
    
    def load(self,path_to_exe):

        creation_flags = DEBUG_PROCESS

        #初始化结构体
        startupinfo = STARTUPINFO()
        process_information = PROCESS_INFORMATION()

        #the following two options allow the started process to be shown as a separate window
        #this also illustrates how different settings in the STARTUPINFO struct can affect the debuggee.
        startupinfo.dwFlags = 0x1
        startupinfo.wShowWindow = 0x0

        #初始化startupinfo.cb表示这个结构体的大小
        startupinfo.cb = sizeof(startupinfo)
        if kernel32.CreateProcessA(path_to_exe,
                                   None,
                                   None,
                                   None,
                                   None,
                                   creation_flags,
                                   None,
                                   None,
                                   byref(startupinfo),
                                   byref(process_information)):
            print "[*]We have successfully launched the process!"
            print "[*]PID:%d"%process_information.dwProcessId
        else:
            print "[*]Error:0x%08x."%kernel32.GetLastError()
my_test1.py 
#-*-coding:utf-8-*-
import my_debugger1
debugger = my_debugger1.debugger()
debugger.load("C:\\Windows\\SysWOW64\\calc.exe")

运行结果:
        

哦也~成功了~

方法(2) 1、为了附加到指定进程,必须首先得到他的句柄,用OpenProcess(),有kernel32.dll导出。
     HANDLE WINAPI OpenProcess(
                   DWORD dwDesireAccess,决定了我们对打开的进程拥有什么权限,PROCESS_ALL_ACCESS
                   BOOL bInheitHandle, false
                   DWORD dwProcessId,句柄的ID
    ); 
 #1获取进程的句柄
    def open_process(self,pid):
        h_process = kernel32.OpenProcess(PROCESS_ALL_ACCESS,False,pid)#权限,False,进程id
        return h_process


2、接下来用DebugActiveProcess()函数附加到目标进程:
     BOOL WINAPI DebugActiveProcess(
                  DWORD dwProcessId
     ); 
    def attach(self,pid):
        self.h_process = self.open_process(pid)
        #2用DebugActiveProcess()函数附加到进程
        if kernel32.DebugActiveProcess(pid):
            self.debugger_active = True
            self.pid = pid
            #self.run()
        else:
            print "[*]Unable to attach to process."

3、调试器循环调用WaitForDebugEvent()以便俘获调试事件。

     BOOL WINAPI WaitForDebugEvent(

                LPDEBUG_EVENT lpDebugEvent,#该结构体描述一个调试事件

                DWORD dwMilliseconds,#设为无限等待

     )

4、调试器捕捉的每一个事件都有相关的事件处理函数进行处理,

5、当处理函数完成了操作,我们希望进程继续执行用ContinueDebugEvent()

      BOOL WINAPI ContinueDebugEvent(

                DWORD dwProcessId,

                DWORD dwThreadId,

                DWORD dwContinueStatus  #DBG_CONTINUE, DBG_EXCEPTION_NOT_HANDLED

     );

6、从进程分离出来:把进程ID传递给DebugActiveProcessStop()

    def detach(self):
        #5进程分离,把进程id传递给DebugActiveProcessStop()
        if kernel32.DebugActiveProcessStop(self.pid):
            print "[*]Finished debugging.Exiting..."
            return True
        else:
            print "There was an error"
            return False

my_debugger_defines1.py

#-*-coding:utf-8-*-
from ctypes import *
WORD = c_ushort
DWORD = c_ulong
LPBYTE = POINTER(c_ubyte)
LPTSTR = POINTER(c_char)
HANDLE = c_void_p
##############
PVOID = c_void_p
ULONG_PTR =c_ulong

#常量
DEBUG_PROCESS = 0x00000001#与父进程公用一个控制台(以子进程的方式运行)
CREATE_NEW_CONSOLE = 0x00000010#独占一个控制台(以单独的进程运行)

################
PROCESS_ALL_ACCESS = 0x001F0FFF
INFINITE = 0xFFFFFFFF
DBG_CONTINUE = 0x00010002

#结构体
class STARTUPINFO(Structure):
    _fields_ = [
        ("cb",DWORD),
        ("lpReserved",LPTSTR),
        ("lpTitle",LPTSTR),
        ("dwX",DWORD),
        ("dwY",DWORD),
        ("dwXSize",DWORD),
最低0.47元/天 解锁文章

200万优质内容无限畅学
Angelki
关注
python 自己个调试工具
weixin_44493841的博客
02-07 347
python 自己个调试工具 代码 # -*- coding:utf-8 -*- import time def get_now_time(): """ 获取当前日期时间 :return:当前日期时间 """ now = time.localtime() now_time = time.strftime("%Y-%m-%d %H:%M:%S", now) # now_time = time.strftime("%Y-%m-%d ", now)
个自己的调试器
老裴
07-18 1749
对于了一段时间的程序员来说,了解一些debugger的实质无疑对于技术的提高是有很大帮助的。而debugging自身也是一门非常细节化,比较复杂的技术。好的Debug工具如SoftICE,也是技术稍深一些的程序员必备的技术之一。这篇随笔并不会去讨论Debug技术的实质,而只是利用Platform SDK和最新的DbgHelp.dll提供的API作为引擎一个自己的debugger,也即是一个实
自己动手开发调试器 01
weixin_30563319的博客
01-16 218
背景: 在做XXX编译器检证时经常需要区分是代码端错误,还是编译器端错误,因此对代码进行调试是必不可少的。但是狗日的甲方并没有提供对应的调试器XXXDB,而用GDB调试XXX生成的可执行程序很不稳定,经常出现异常,干脆自己动手mini调试器,顺便学习一下开发一个调试器到底需要哪些知识。 目标: GDB一共有十几万行代码,95%的功能都用不上。三个最基本的功能:“单步”、“断点...
Python帽子 黑客与逆向工程(调试器
午夜安全
05-28 690
调试器通过调试器可以跟踪一个进程的运行时状态,称之为动态分析技术。大多数调试器都具备基本功能:运行、暂停执行和单步执行,除此之外还包括:设置断点、修改寄存器和内存数据值、捕获发生在目标进程中的异常事件。1.通用寄存器1.1 X86通用寄存器X86通用寄存器一共8个,它们的特性如下。EAX(累加器):用于协助执行一些常见的运算操作,以及存放函数返回值。因此可以基于存储在EAX中的值来判断一个函数调用...
二、纯 python 实现一个调试器
云端轻侯的专栏
12-29 1921
要想调试一个程序, 就需要与目标程序建立某种联系, 为此, 我们的调试器应该具备两种基本能力: 打开一个程序, 并使它以自身子进程的形式运行起来 附加到一个正在进去的程序上
Python帽子中文.pdf
09-20
本书不仅涵盖了Python的基础知识,更深入探讨了黑客工具、技术(如调试器、后门、fuzzer、仿真器、代码注入)的实际应用,旨在帮助读者从理论层面过渡到实战操作,实现自定义工具的开发与创新。 ### Python在...
Python帽子:黑客与逆向工程实战指南
"Python帽子——一本关于Python安全攻防的书籍,适合有一定Python基础并希望学习逆向工程的读者。本书旨在填补Python在黑客编程应用方面的手册空白,提供实用的黑客工具和技巧,帮助读者不仅能使用已有的Python...
[Python帽子].(美)塞兹.文字版.pdf
11-17
由于提供的文件内容是书籍《Python帽子》的简介与部分内容,本文将围绕Python在黑客编程和逆向工程中的应用,以及书中提到的一些特定技术和工具展开知识点的详细解释。 Python是一种广泛应用于多种领域的高级编程...
Python帽子:黑客与逆向工程的实战手册
作者假设读者已经具备一定的黑客技术理论基础,如调试器、后门、fuzzer、仿真器和代码注入的知识,但希望通过本书能进一步提升Python在这些领域的应用能力,包括自定义和编自己的工具。书中涵盖了调试器的使用、...
Python
iteye_16615的博客
04-13 313
黑客和逆向工程的python编程 学习资料
Python帽子.pdf
05-16
Python帽子Python调试与PythonHOOK
Python帽子中文 高清版PDF
06-21
Python帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDFPython帽子中文 高清版PDF
自己实现一个Python调试器
weixin_34082695的博客
03-25 281
2019独角兽企业重金招聘Python工程师标准>>> ...
6.3.2自己动手windows调试器(加强版)
渝路蓝天
07-12 877
1.my_debugger_defines.py =========================================================== from ctypes import * # Let's map the Microsoft types to ctypes for clarity BYTE      = c_ubyte WORD      =
python帽子》源码一,运行一个程序进入调试状态
qq_41738613的博客
10-18 1261
python帽子》这本书感觉不错,所以分享下看书下的源码 系统win10,python3.6(书里的都是python2),编码软件vscode 学习python帽子就是需要调用dll(动态链接库)这方面的知识就不说了,百度或去看书都很容易的,但是那些win32api还是推荐Google去搜索来看比较好,基本一搜第一个链接就是微软的。 用python3编书里的代码最大的问题是编码问题...
谷歌黑客大神亲码“Python帽子”不讲一句废话,全是精华
leah126的博客
12-06 299
Python是一款非常流行的脚本编程语言。特别是在黑客圈子里,你不会Python 就几乎无法与国外的那些大牛们沟通。遗憾的是,之前市面上还没有一本关于如何利用黑客工具中提供的 Python的学习资料,为此谷歌黑客大神,特地撰了这份Python帽子,可以帮助很多编程爱好者找到黑客与逆向工程师Python编程之道,说到它的好处也许还不仅于此,它不仅是一本Python黑客编程方面的极佳参考资料,同时也是一本软件调试和漏洞发掘方面很好的入门教材。对于那些对黑客和Python感兴趣的读者,以及想入门网络安全的小伙
一个简易调试器
WLINX
05-17 2388
菜鸡的日常,复习一下调试器,简单CV点代码,调试器调试程序有两种方式,一种是创建进程,另一种便是附加: while (TRUE) { printf("1.创建新的调试进程\n"); printf("2.附加待调试的进程\n"); int input = 0; scanf_s("%d", &input); if (input == 1) { printf("请输入调试进程的路径:\n"); char Path[MAX_PATH] = { 0 }; scanf
三十岁了从零开始学python还有前途吗?很迷茫啊
JAVAmonster12的博客
05-20 1807
对于学习这件事,我一直认为没有时间先后,啥时候学习都不晚,不管你现在年龄多大,只要有心想学习,一切都好说。 首先,你要学的python是属于技术类的知识,对于喜欢搞技术的朋友来说,到书店或图书馆选一本有关python的资料书,然后自己制定一个详细的学习计划,然后带着问题去阅读,你会发现这样学起来真的很轻松; 其次,明白了里面的原理,那就必须上手去操作,只有通过验证,才能理解在学习中遇到的那些晦涩难通的概念与执行原理。 当然每个人看书学习的方式与效率不同,要根据自己的情况总结出适合自己的方式,只有掌握了看不
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值