代码还原之 pstree (一)

原创 已于 2023-11-29 17:02:35 修改 · 1.1k 阅读 · 18 ·
CC 4.0 BY-SA版权
ac
文章标签:

#c语言 #汇编

于 2023-11-29 16:54:15 首次发布
本文详细解读了一个C程序,特别是pstree命令的源代码,涉及结构选项的定义、参数传递以及对系统调用ioctl的使用,展示了逆向工程中的一项技术应用。

 32位的 pstree 命令,通过逆向的方式还原源代码。错误之处,再来修改;

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <getopt.h>
#include <unistd.h>
#include <signal.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <time.h>
#include <errno.h>
#include <sys/wait.h>
#include <sys/ioctl.h>
#include <locale.h>
#include <libintl.h>
#include <dirent.h>
#include <langinfo.h>

int g_0x804d1a0 = 0;
int g_0x804d0fc = 0;
int g_0x804d0f0 = 0x8c;
int g_0x804d1ac = 0;
int g_0x804d1b0;
int g_0x804d0f8;
int g_0x804d1b4;
int g_0x804d1a8;
int g_0x804d1a4;
int g_0x804d0f4;
int g_0x804d168 = 1;    /* optind */

/* Names for the values of the 'has_arg' field of 'struct option'.  */
# define no_argument            0
# define required_argument      1
# define optional_argument      2

static struct option long_options[16] =
{
    {"arguments", no_argument, NULL, 'a'},
    {"ascii", no_argument, NULL, 'A'},
    {"compact", no_argument, NULL, 'c'},
    {"vt100", no_argument, NULL, 'G'},
    {"highlight-all", no_argument, NULL, 'h'},
    {"highlight-pid", required_argument, NULL, 'H'},
    {"long", no_argument, NULL, 'l'},
    {"numeric-sort", no_argument, NULL, 'n'},
    {"show-pids", no_argument, NULL, 'p'},
    {"show-pgids", no_argument, NULL, 'g'},
    {"show-parents", no_argument, NULL, 's'},
    {"uid-changes", no_argument, NULL, 'u'},
    {"unicode", no_argument, NULL, 'U'},
    {"version", no_argument, NULL, 'V'},
    {"security-context", no_argument, NULL, 'Z'},
    {NULL, 0, NULL, 0}
};

int g_0x804d1b8 = 0;

/*
 * ebp+0x8 = argc
 * ebp+0xc = argv
 */

int main(int argc, char **argv)
{
 /*8049060:    55                       push   %ebp
 8049061:    b9 40 00 00 00           mov    $0x40,%ecx    // ecx=0x40=64
 8049066:    89 e5                    mov    %esp,%ebp    // ebp=esp=0xbffff168
 8049068:    57                       push   %edi        // esp=0xbffff164
 8049069:    56                       push   %esi        // esp=0xbffff160
 804906a:    be c0 b9 04 08           mov    $0x804b9c0,%esi    // esi=0x804b9c0 "arguments" note:help info, long_options
 804906f:    53                       push   %ebx        // esp = 0xbffff15c
 8049070:    83 e4 f0                 and    $0xfffffff0,%esp    // esp = 0xbffff150
 8049073:    8d a4 24 20 da ff ff     lea    -0x25e0(%esp),%esp    // esp = 0xbfffcb70*/
    char buff_25e0[0x25e0];    // 2424

 /*804907a:    8b 45 0c                 mov    0xc(%ebp),%eax        // eax = 0xbffff204 = (ebp+0xc)=0xbffff174:0xbffff204 (**argv)
                                                                // /home/share/work/ac-code/command/pstree/reverse/intel-r2/pstree
                                                                // x/x $ebp+8    --> 0x00000001
 804907d:    8d 9c 24 d8 00 00 00     lea    0xd8(%esp),%ebx        // ebx = 0xbfffcc48  0xd8=216 216/4=54, buff_d8
 8049084:    8d 3b                    lea    (%ebx),%edi            // edi = 0xbfffcc48
 8049086:    f3 a5                    rep movsl %ds:(%esi),%es:(%edi)*/
    struct option buff_d8[16];
    char *pgetenv = NULL;

    memcpy(buff_d8, long_options, sizeof(long_options));    

 /*8049088:    89 44 24 4c              mov    %eax,0x4c(%esp)        // 0xbfffcbbc:0x00000000bffff204, eax=0xbffff204, (esp+0x4c)=argv
 804908c:    c7 44 24 04 13 54 00     movl   $0x5413,0x4(%esp)    // 0xbfffcb74:0x0000000000005413
 8049093:    00 */
    char *pargv = argv[0];
    long int v_0x5413 = 0x5413;

 /*8049094:    65 a1 14 00 00 00        mov    %gs:0x14,%eax        // eax=gs:0x14=0x58bdd000    (hui bian)
 804909a:    89 84 24 dc 25 00 00     mov    %eax,0x25dc(%esp)    // (esp+0x25dc)=0x58bdd000
 80490a1:    31 c0                    xor    %eax,%eax            // eax=0
 80490a3:    c7 04 24 01 00 00 00     movl   $0x1,(%esp)            // (esp)=1
 80490aa:    8d 44 24 70              lea    0x70(%esp),%eax        // eax=esp+0x70
 80490ae:    89 44 24 08              mov    %eax,0x8(%esp)        // (esp+0x8)=esp+0x70    
 80490b2:    e8 49 fd ff ff           call   8048e00 <ioctl@plt>*/
    int v_0x25dc = 0x58bdd000;
    struct winsize p_0x70;

    // include/uapi/asm-generic/ioctls.h:38:#define TIOCGWINSZ 0x5413
    // extern int ioctl (int __fd, unsigned long int __request, ...) __THROW;    // /usr/include/sys/ioctl.h:41:12:
    int ret = ioctl(1, v_0x5413, &p_0x70);
    printf("ret = %d\n", ret);

 /*80490b7:    85 c0                    test   %eax,%eax        // eax=0, sf=0. if eax<0, sf=1
 80490b9:    78 0e                    js     80490c9 <tigetstr@plt+0x79> */ // sf=0, no jump.

    if (ret >= 0) {

 /*80490bb:    0f b7 44 24 72           movzwl 0x72(%esp),%eax    // eax=0x00000050
 80490c0:    66 85 c0                 test   %ax,%ax    // ax=0x50, zf=0
 80490c3:    0f 85 9d 02 00 00        jne    8049366 <tigetstr@plt+0x316> */ // zf=0, jump
        if (p_0x70.ws_col != 0) {
            // jump 8049366
            g_0x804d0f0 = p_0x70.ws_col;
        }
    }

获取目标机器的ssh反弹权限后,如何通过台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
代码讲故事
07-02 518
网络攻防实战中获取目标机器的ssh反弹权限后,如何通过台公网服务器的服务 jar 包进行偷梁换柱植入目录进行钓鱼,从而获取目标使用人的终端设备权限和个人信息?
pstree 详解
SHELLCODE_8BIT的博客
01-11 2671
pstree命令是用于查看进程树之间的关系,即哪个进程是父进程,哪个是子进程,可以清楚的看出来是谁创建了谁 #pstree 几个重要的参数: -A: 各进程树之间的连接以ASCII码字符来连接 -U:各进程树之间的连接以utf8字符来连接,某些终端可能会有错误 -p:同时列出每个进程的PID -u: 同时列出每个进程的所属账号名称: 例子: #pstree -up systemd(1)-+-agetty(2021) |-agetty(2022) |-bash(23...
pstree:Go 中的 pstree
07-09
个普通的 pstree 克隆很难维护。 如果你想看好看的版本,去这里: 从那时起,我对其进行了些更改以帮助加快速度。 它变得不那么惯用了,读起来更累了。 在此过程中,我收集了些有趣的基准测试数字——您可以看到经过许多小修改后的增加: BenchmarkPopulate 500 5910036 ns/op BenchmarkPopulate 500 4122985 ns/op BenchmarkPopulate 1000 2699748 ns/op BenchmarkPopulate 1000 2447752 ns/op BenchmarkPopulate 1000 226416
浅谈操作系统实验:实现pstree
wwxy1995的博客
03-18 1580
可以看作是个Linux系统API的开发 系统编程零基础小白预计耗时1天左右 难点1: Linux下解析命令行参数(这个有标准的做法) man 3 getopt 难点2: 得到进程pid以及父进程pid 答案是在目录中去找 /proc/[pid]/stat man 5 proc stat的格式在文档中有写,我们只要pid和ppid 难点3: 建树打印 对于算法新选手最后个不是难点,只是输出的格式需要注意。 给段Go的代码参考。 // Cop...
模仿pstree 打印进程树
An_dy_code的博客
06-04 1370
pstree
代码实现pstree进程树
一木浅雪的博客
09-03 324
代码即可实现pstree效果,指定根节点的pid可以查询其所有的子进程名称及其PID,快速获取当前系统的进程树。
pstree
weixin_33978016的博客
08-07 383
pstree命令进程和作业管理pstree命令以树状图的方式展现进程之间的派生关系,显示效果比较直观。语法pstree(选项)选项-a:显示每个程序的完整指令,包含路径,参数或是常驻服务的标示; -c:不使用精简标示法; -G:使用VT100终端机的列绘图字符; -h:列出树状图时,特别标明现在执行的程序; -H<程序识别码>:此参数的效果和指定"-h"参数类似,...
pstree c语言
03-12
用户提到了参考内容中的几个引用,特别是引用[1]、[2]、[3],这些涉及代码还原、目录扫描和树状结构打印。可能用户希望结合进程树和目录树的结构来实现pstree的功能。不过,pstree处理的是进程,而引用中的例子更多...
Linux指令周通 (技术图书大系).azw3
05-22
1.34 indent指令:调整C原始代码文件的格式 1.35 less指令:次显示页文本 1.36 lha指令:压缩或解压缩文件 1.37 ln指令:链接文件或目录 1.38 locate指令:查找文件 1.39 lpd指令:打印管理程序 1.40 lpq 指令:...
进程/线程模型与调度入门:从 fork/exec 到上下文切换的线到底
最新发布
wolf800的博客
10-24 686
进程/线程模型与调度入门:从 fork/exec 到上下文切换的线到底“每条命令背后,都有个世界在切换。”如果你曾好奇条 ls 如何“出世”,为什么 kill -9 有时也“无能为力”,或者 top 里跳动的数字究竟在反映什么,那么这篇文章会把进程/线程、fork/exec、ELF 装载、环境变量、退出码、信号、优先级与 nice、上下文切换,次性串成可实操的全景图。
篇文章入门Linux——搞定后端面试
qq_41108186的博客
08-28 719
Linux学习笔记 1. Linux简介 简介 Linux 内核最初只是由芬兰人林纳斯·托瓦兹(Linus Torvalds)在赫尔辛基大学上学时出于个人爱好而编写的。 Linux 是套免费使用和自由传播的类 Unix 操作系统,是个基于 POSIX 和 UNIX 的多用户、多任务、支持多线程和多 CPU 的操作系统。 Linux 能运行主要的 UNIX 工具软件、应用程序和网络协议。它支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是个性能稳定的多用户网络操作系
linux-pstree
02-25
是对linux下pstree功能的模拟实现。
ptree(包括源码
09-02
ptree小程序(包括源码),用于打印树形结构。(a(b(e()f())c(g(h(i)))d(j()k()l()))) 作为参数传入程序 输出结果 ---------------- | a ..............................|.................... | | | b c d .......|..... .| ..............|.......... | | | | | | e f g j k l .| | h ----------------
Linux程序树 : pstree
07-04 1616
转:http://blog.chinaunix.net/space.php?uid=23054351&do=blog&id=2560359   pstree [root@www ~]#pstree [-A|U] [-up] 选项与参数: -A :各程序树之间的连接以 ASCII 字元来连接; -U :各程序树之间的连接以万国码的字元来连接。
用LinuxC实现pstree
hansel的专栏
08-26 3725
使用Linux C通过扫描/proc目录下的文件完成pstree的打印
实现pstree命令的程序
zhenjiangge的专栏
01-02 1547
#include#include#includetypedef struct pro_info{ int pid; int ppid; char name[100]; int flag;//标志是否打印 int rec;//计算总父进程个数}info;//返回所有数字目录int filter(const struct d
ps与pstree命令
技术文档学习笔记
08-17 756
Linux ps命令 Linux ps命令用于显示当前进程 (process) 的状态。 语法 ps [options] [--help] 参数: ps 的参数非常多, 在此仅列出几个常用的参数并大略介绍含义-A 列出所有的行程-w 显示加宽可以显示较多的资讯-au 显示较详细的资讯-aux 显示所有包含其他使用者的行程au(x) 输出格式 :USER PID %CPU
pstree(1) command
Dablelv 的博客专栏。
10-28 5366
pstree(process tree)显示进程树。pstree 将所有行程以树状图显示,树状图将会以 pid (如果有指定) 或是以 init 这个基本进程为根 (root)。如果有指定使用者 id,则树状图只会显示该使用者所拥有的进程。使用 ps 命令得到的数据精确,但数据庞大,这点对掌握系统整体概况来说是不容易的。pstree 命令正好可以弥补这个缺憾。它能将当前的执行程序以树状结构显示。pstree命令支持指定特定程序(PID)或使用者(USER)作为显示的起始。
Linux命令_pstree & 显示进程树
m0_61066945的博客
12-08 1889
进程管理、进程数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值