advanced breakpointing
play

Advanced Breakpointing Software Breakpoints INT 3 Memory - PowerPoint PPT Presentation

Jan 25, 2024 •125 likes •482 views

Advanced Breakpointing Software Breakpoints INT 3 Memory Breakpoints Page guarding Hardware Breakpoints CPU hardware 2 Software Breakpoints

  2. Advanced ¡Breakpointing ¡ � Software ¡Breakpoints ¡ � INT ¡3 ¡ � Memory ¡Breakpoints ¡ � Page ¡guarding ¡ � Hardware ¡Breakpoints ¡ � CPU ¡hardware ¡ 2

  3. Software ¡Breakpoints ¡ � Software ¡Breakpoints ¡ � A ¡software ¡breakpoint ¡is ¡an ¡interrupt ¡(0x3) ¡ � Generates ¡a ¡debug ¡event ¡of ¡ EXCEPTION_DEBUG_EVENT ¡for ¡the ¡debugger 3

  4. Software ¡Breakpoints ¡ � Setting ¡a ¡Breakpoint ¡ � To ¡set ¡a ¡breakpoint ¡at ¡address ¡ A bp ¡in ¡process ¡ memory: ¡ � Record ¡the ¡byte ¡value ¡at ¡ A bp ¡ � Set ¡the ¡byte ¡value ¡at ¡ A bp ¡to ¡0xCC ¡ � What ¡is ¡0xCC ¡again??? ¡ � Clearing ¡a ¡Breakpoint ¡ � To ¡clear ¡a ¡breakpoint ¡at ¡address ¡ A bp ¡in ¡process ¡ memory: ¡ � Restore ¡the ¡byte ¡value ¡at ¡ A bp ¡ 4

  5. Memory ¡Breakpoints ¡ � Problems ¡ � Software ¡interrupts ¡change ¡memory ¡values ¡ 5

  6. Memory ¡Breakpoints ¡ � Breaking ¡on ¡Read/Write/Execute ¡ � We ¡can ¡set ¡a ¡page ¡of ¡memory ¡with ¡ VirtualProtect() ¡and ¡ PAGE_GUARD � When ¡guarded ¡memory ¡is ¡accessed, ¡a ¡ STATUS_GUARD_PAGE_VIOLATION ¡exception ¡ is ¡generated ¡ 6

  7. Hardware ¡Breakpoints ¡ � Processor-­‑handled ¡Breakpointing ¡ � HW ¡breakpoints ¡are ¡not ¡interrupt ¡instructions ¡ � Special ¡hardware ¡dedicated ¡to ¡breakpoints ¡ � Special ¡“debug ¡registers” ¡interact ¡with ¡CPU ¡ 7

  8. Hardware ¡Breakpoints ¡ � x86 ¡Debug ¡Registers ¡ � DR0-­‑DR3: ¡linear ¡breakpoint ¡addresses ¡ � Up ¡to ¡4 ¡hardware ¡breakpoints ¡max ¡ � DR4-­‑DR5: ¡reserved ¡ � DR6: ¡debug ¡status ¡ � 4 ¡bits ¡(0,1,2,3) ¡which ¡are ¡set ¡upon ¡an ¡interrupt ¡ � Bits ¡must ¡be ¡unset ¡by ¡debug ¡exception ¡handler ¡ � DR7: ¡debug ¡control ¡ � Local/global ¡breakpoint ¡enables ¡(0,2,4,6/1,3,5,7) ¡ � R/W/X ¡breakpoint ¡trigger ¡option ¡ (16,17/20,21/24,25/28,29) ¡ � 1,2,8,4 ¡byte ¡breakpoint ¡trigger ¡area ¡ (18,19/22,23/26,27/30,31) ¡ 8

  9. Hardware ¡Breakpoints ¡ � x86 ¡Debug ¡Registers ¡ 9

  10. C++ ¡Reverse ¡Engineering ¡ � Differences ¡from ¡C ¡ � Indirect ¡calls ¡ � Via ¡vtables ¡ � Virtual ¡functions ¡ � Function ¡that ¡can ¡be ¡overridden ¡by ¡inheriting ¡object ¡ � The ¡ this ¡pointer ¡ � Object ¡oriented ¡programming ¡ 10

  11. C++ ¡Reverse ¡Engineering ¡ class Foo : Bar { public: Foo(); // constructor ~Foo(): // destructor int doFoo(); private: int doMoreFoo(); int x; int y; } 11

  12. C++ ¡vtables ¡ � Virtual ¡Functions ¡ � Can ¡be ¡overriden ¡in ¡inheriting ¡classes ¡ � What ¡is ¡printed? ¡ class A { public: virtual void func() {cout << “A”;} }; class B: public A { public: void func() {cout << “B”;} }; B *b = new B(); b->func(); 12

  13. C++ ¡vtables ¡ � Virtual ¡Method ¡Table ¡(vtable) ¡ � Array ¡of ¡pointers ¡to ¡the ¡functions ¡of ¡an ¡object ¡ � vpointer ¡points ¡to ¡the ¡vtable ¡ � First ¡member ¡of ¡the ¡object ¡for ¡MS ¡compilers ¡ � After ¡all ¡user-­‑declared ¡members ¡for ¡Unix ¡compilers ¡ � Indirect ¡call ¡ mov eax, [edi] // vtable mov ecx, edi // this ptr call dword ptr[eax+4h] // vtable method 13

  14. C++ ¡vtables ¡ class B1 { public: void f0() {} virtual void f1() {} int int_in_b1; }; class B2 { public: virtual void f2() {} int int_in_b2; }; 14

  15. C++ ¡vtables ¡ B2 *b2 = new B2(); // b2: // +0: pointer to vtable of B2 // +4: value of int_in_b2 // vtable of B2: // +0: B2::f2() 15

  16. C++ ¡vtables ¡ class D : public B1, public B2 { public: void d() {} void f2() {} // override B2::f2() int int_in_d; }; 16

  17. C++ ¡vtables ¡ D *d = new D(); // d: // +0: pointer to vtable of D (for B1) // +4: value of int_in_b1 // +8: pointer to vtable of D (for B2) // +12: value of int_in_b2 // +16: value of int_in_d // vtable of D (for B1): // +0: B1::f1() // B1::f1() is not overridden // vtable of D (for B2): // +0: D::f2() // B2::f2() is overridden by D::f2() 17

  18. C++ ¡vtables ¡ 18

  19. C++ ¡vtables ¡ � B1 ¡Constructor ¡ � Initializes ¡vtable ¡for ¡this ¡object ¡ 19

  20. C++ ¡vtables ¡ 20

  21. Symbols ¡ � Debug ¡Symbols ¡ � Attaches ¡names ¡to ¡variables ¡and ¡methods ¡ � May ¡be ¡compiled ¡into ¡the ¡binary ¡ � May ¡be ¡distributed ¡in ¡a ¡separate ¡file ¡ � May ¡be ¡destroyed ¡upon ¡compilation/linking ¡ � Most ¡debuggers ¡have ¡support ¡for ¡symbols ¡ 21

  22. Name ¡Mangling ¡ � Name ¡Mangling ¡ ¡ � Compiler ¡symbols ¡for ¡ � Functions ¡ � Structures ¡ � Classes ¡ � … ¡ � Used ¡to ¡distinguish ¡identifiers ¡of ¡the ¡same ¡name ¡ in ¡different ¡namespaces ¡ � Used ¡by ¡the ¡compiler ¡for ¡function ¡overloading ¡ 22

  23. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C) ¡ � Fairly ¡standardized ¡ � Not ¡useful ¡in ¡C ¡since ¡function ¡overloading ¡is ¡not ¡allowed ¡ int _cdecl f (int x) { return 0; } int _stdcall g (int y) { return 0; } int _fastcall h (int z) { return 0; } � Mangled ¡names ¡ � _f ¡ � _g@4 ¡ � @h@4 ¡ 23

  24. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C++) ¡ � Highly ¡used, ¡most ¡non-­‑standardized ¡ int f (void) { return 1; } int f (int) { return 0; } void g (void) { int i = f(), j = f(0); } � Mangled ¡names ¡ � __f_v ¡ � __f_i ¡ � __g_v ¡ 24

  25. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C++) ¡ 25

  26. Name ¡Demangling ¡ � Name ¡Demangling ¡ � Good ¡disassemblers ¡support ¡name ¡demangling ¡ � Allows ¡you ¡to ¡guess ¡function ¡types ¡ 26

  27. Windows ¡Internals ¡ � Process/Thread ¡Information ¡ � PEB ¡ � TEB ¡ � Exception ¡Handling ¡ � VEH ¡ � SEH ¡ � UEF ¡ 27

  28. Process ¡Environment ¡Block ¡ (PEB) ¡ � PEB ¡ � Pointer ¡to ¡the ¡PEB ¡located ¡at ¡fs:[0x30] ¡ � Not ¡entirely ¡documented ¡ � Contains ¡informative ¡information ¡ � Initialized ¡by ¡kernel ¡or ¡PE ¡header ¡ � Contains ¡runtime ¡information ¡ � BeingDebugged ¡ � Ldr ¡ � Loaded ¡modules ¡ � ProcessParameters ¡ � Information ¡like ¡command ¡line ¡arguments ¡ 28

  29. Thread ¡Environment ¡ Block ¡(TEB) ¡ � TEB ¡ � Also ¡called ¡Thread ¡Information ¡Block ¡(TIB) ¡ � Located ¡at ¡fs:[0x0] ¡ � Contains ¡information ¡about ¡a ¡single ¡thread ¡ � Current ¡SEH ¡frame ¡(fs:[0x0]) ¡ � Linear ¡address ¡of ¡the ¡TIB ¡(fs:[0x18]) ¡ � Process ¡ID ¡(fs:[0x20]) ¡ � Thread ¡ID ¡(fs:[0x24]) ¡ � Pointer ¡to ¡the ¡process ¡PEB ¡(fs:[0x30]) ¡ 29

  30. Thread ¡Contexts ¡ � Context ¡ � The ¡state ¡of ¡a ¡thread’s ¡execution ¡ � Essentially ¡all ¡registers ¡ � GP ¡registers ¡ � Memory ¡segment ¡registers ¡ � EIP ¡ � … ¡ � One ¡context ¡per ¡thread ¡ 30

  31. Windows ¡Exception ¡Handling ¡ 1. Vectored ¡Exception ¡Handler ¡(VEH) ¡ 2. Structured ¡Exception ¡Handler ¡(SEH) ¡Chain ¡ 3. Unhandled ¡Exception ¡Filter ¡(UEF) ¡ 31

  32. Vectored ¡Exception ¡Handler ¡ � VEH ¡ � New ¡feature ¡starting ¡in ¡Windows ¡XP ¡ � Chain ¡of ¡pointers ¡to ¡exception ¡handlers ¡ � Chain ¡is ¡located ¡on ¡the ¡heap ¡as ¡a ¡linked ¡list ¡ � When ¡an ¡exception ¡occurs, ¡the ¡VEH ¡chain ¡is ¡ traversed ¡for ¡an ¡appropriate ¡handler ¡ � VEHs ¡are ¡not ¡frame ¡based ¡ � Unlike ¡SEHs, ¡VEHs ¡may ¡be ¡triggered ¡from ¡anywhere ¡ in ¡the ¡process ¡ � Vectored ¡exception ¡handling ¡occurs ¡before ¡any ¡ frame-­‑based ¡handlers ¡(like ¡SEH) ¡ 32

  33. Structured ¡Exception ¡Handler ¡ � SEH ¡Chain ¡ � Chain ¡of ¡pointers ¡to ¡exception ¡handlers ¡ � Chain ¡is ¡located ¡on ¡the ¡stack ¡as ¡a ¡linked ¡list ¡ � try / catch ¡(or ¡ __try / __except ) ¡blocks ¡install ¡ these ¡handlers ¡in ¡the ¡chain ¡ � When ¡an ¡exception ¡occurs, ¡the ¡SEH ¡chain ¡is ¡ traversed ¡for ¡an ¡appropriate ¡handler ¡ 33

Recommend

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online Training Course Week 5: Mind Body Connection Advanced Nutrition Course Advanced Nutrition Course Week 3 Recap Understanding emotions

670 views • 15 slides
Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory

Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory

Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory Implementation The starting (root) directory of each filesystem is created by formatting . A UNIX directory is a file : it has an owner, group

502 views • 12 slides
Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing

Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing

Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing Capabilities Product and Advanced Emerging Industrial Manufacturing Technologies Design Production Advanced Organizational Transportation

132 views • 12 slides
Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who

Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who

Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who are Advanced Learners? Highly Capable Students who perform or show potential for performing at significantly advanced academic levels when

614 views • 12 slides
Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical

Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical

Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical Classification Advanced EMI sensors utilize multiple transmitter and receiver coils to acquire data from numerous angles and positions Rich dataset can

927 views • 8 slides
ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with

ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with

ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with challenging coursework that culminates with an external examination. BENEFITS OF ADVANCED PLACEMENT Possible College Credit Early completion

601 views • 6 slides
Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a

Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a

Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a University Department of Computing Science Stephen J. Hegner hegner@cs.umu.se http://www.cs.umu.se/~hegner Advanced SQL II Advanced

388 views • 35 slides
Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to

Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to

Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to supplement the Introduction to UNIX slides with extra information on files 1 CIS 218 Advanced UNIX Overview 1 . Access Permissions 2 . Links 2

358 views • 22 slides
BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE

BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE

SIKESTON BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE AMI is an integrated system of advanced meters, communications networks, and data management systems that enables two-way communication

543 views • 7 slides
Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE

Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE

3G Evolution Outline Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE Advanced LTE Ad LTE Advanced d Fundamental requirements for LTE Advanced Payam Amani Extended Requirements Beyond ITU

244 views • 7 slides
Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement

Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement

Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement Program Mr. Anthony Vargas MCPS, Supervisor of Gifted/Talent and Advanced Programs What are the advantages of taking an AP course in high school?

243 views • 21 slides
THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced

THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced

THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced Clinical Practitioner in Complex High risk Maternity Care History of Advanced Clinical practice in Midwifery The four pillars of advanced More

483 views • 16 slides
Advanced Virgo (Report on Advanced Virgo stay)

Advanced Virgo (Report on Advanced Virgo stay)

Advanced Virgo (Report on Advanced Virgo stay) KAGRA Observatory, ICRR, the University of Tokyo (NAGANO Koji) Extended

1.03k views • 67 slides
Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care

Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care

Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care Eugene Washington PCORI Engagement Award C-TACs Vision: all Americans with advanced illness will receive comprehensive, high-quality, person- and

271 views • 11 slides
CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming

CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming

CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming language Awk uses syntax based on grep and sed for handling numbers and text awk provides field level addressability. And within a field (word)

662 views • 40 slides
What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape

What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape

DDoS &amp; Modern Threat Motives Dan Holden Director, ASERT What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape Geo-poli:cal More defenses ? App/Content t a

1.13k views • 44 slides
Advanced UNIX CIS 218 Advanced UNIX 6 . The Bourne and Bash Shells Objectives explain

Advanced UNIX CIS 218 Advanced UNIX 6 . The Bourne and Bash Shells Objectives explain

Advanced UNIX CIS 218 Advanced UNIX 6 . The Bourne and Bash Shells Objectives explain how to write Bourne and Bash Shell scripts 1 CIS 218 Advanced UNIX Overview 1 . Making a File Executable 2 . Combining Commands 3 . Redirecting Output

1.14k views • 99 slides
Lecture 3: Advanced SQL 1 / 64 Advanced SQL Relational Language Relational Language User

Lecture 3: Advanced SQL 1 / 64 Advanced SQL Relational Language Relational Language User

Advanced SQL Lecture 3: Advanced SQL 1 / 64 Advanced SQL Relational Language Relational Language User only needs to specify the answer that they want, not how to compute it. The DBMS is responsible for e ffi cient evaluation of the

1.25k views • 65 slides
1. Foundations of Numerics from Advanced Mathematics 1. Foundations of Numerics from Advanced

1. Foundations of Numerics from Advanced Mathematics 1. Foundations of Numerics from Advanced

Mathematical Essentials and Notation Linear Algebra Calculus Stochastics and Statistics 1. Foundations of Numerics from Advanced Mathematics 1. Foundations of Numerics from Advanced Mathematics Numerical Programming I (for CSE), Hans-Joachim

532 views • 50 slides
ADVANCED ADVANCED FE APPLI CATI ONS FE APPLI CATI ONS COURSE COURSE Theory of Microscopy

ADVANCED ADVANCED FE APPLI CATI ONS FE APPLI CATI ONS COURSE COURSE Theory of Microscopy

ADVANCED ADVANCED FE APPLI CATI ONS FE APPLI CATI ONS COURSE COURSE Theory of Microscopy Therm ionic Em itters vacuum level Boil electrons over the top of the energy barrier work The current density depends on Thermionic

359 views • 21 slides
The Advanced Communication Center The Advanced Communication Center www.acc.tau.ac.il

The Advanced Communication Center The Advanced Communication Center www.acc.tau.ac.il

The Advanced Communication Center The Advanced Communication Center www.acc.tau.ac.il www.acc.tau.ac.il ACC Vision To provide an environment and become an excellence center for research into the issues necessary to support next generation

267 views • 7 slides
The Advanced Fuel from www.iptgroup.com.lb WHAT IS QUANTUM? The Advanced Fuel from Base Fuel 95

The Advanced Fuel from www.iptgroup.com.lb WHAT IS QUANTUM? The Advanced Fuel from Base Fuel 95

The Advanced Fuel from www.iptgroup.com.lb WHAT IS QUANTUM? The Advanced Fuel from Base Fuel 95 or 98 Additives Highest Cleanliness Standard for Gasoline Performance Lower Emissions that benefit our environment Cleaner Fuel that Results in

272 views • 12 slides
Advanced Encryption Standard

Advanced Encryption Standard

Advanced Encryption Standard 1 Advanced Encryption Standard (AES) Advanced Encryption Standard (AES) 1997 NIST call for candidate larger key size (bits): 128, 192, 256

645 views • 40 slides
in Advanced . Exploration 1 . Note 1 : Advanced Exploration: Defined as confirmed

in Advanced . Exploration 1 . Note 1 : Advanced Exploration: Defined as confirmed

Investment Opportunity in Advanced . Exploration 1 . Note 1 : Advanced Exploration: Defined as confirmed mineralisation, immediate drill targets &amp; exploration upside Duke Exploration / Investor Presentation 1 Disclaimer This

918 views • 26 slides

More recommend