Entries tagged as 1337
army 22c3 accident austria austrofascism complaint dog tag end fun german guard hacking hair iraq israel kidnapping linz mercenary movie photos police programming propaganda rant recommendation shooting soldier terrorism tv unemployment usa war wikipedia work youtube debugging 1 x86 2 3 3d 9/11 accesslog acm alcohol animation apache arc arselectronica aspirin avantgarde bear beer benchmark bka blog blogging book borland c c++ cabaret cats chocolate christianity christmas cocaine commands commercials computer science conspiracy cooking cover versions crossroads cwapd doping drugs eastgermany eiffel electronic music email english essay fail fefe first! flash food fuzz gangsigns gatling gcc git google grammar gunkl heroin history horror http hymn icq independence indymedia internet it jan ullrich japanese jeopardy jmeter kaminer letter lisp lolcats mathematics meme money music ncurses nerds passiveaggressivenote picture pictures pixar pizza podcast polenta politics pope present programming language prototyping quiz quotes religion russendisko sangria sex shell silkperformer skabucks socialism swebd synflood techno testing thttpd tooth translation unix upperaustria vcs vegetables video weekend whale whip whitechicks windows wplotd 4 code audit gnupg mobile xml 5 23c3 ada announcement ariane 5 assembler automated tests baconbird build management burning money callgraph cms code coverage community compiler console continuous integration contrapolice cruisecontrol dartlang debian designbycontract dietlibc dot editor embeddable feedreader forced browsing free pascal freebsd gcov glibc gnu pascal go gockel golang heap html hudson i18n icu ide imap introduction ipv6 javascript job lcov linux linuxwochen mutt mutt-ng ndbm netbsd neted network newsbeuter noos object-oriented obscure osx overflow parser pascal patch management perl plan9 problem prototype pthread python quilt rails recursion refactoring release rss ruby screencast scripting language security server shared library smtp stack stfl strdup terminal texttools thread tpp trapdoor2 twitter unicode vienna vim wap web webdynamite websockets weird 6
Wednesday, November 1. 2006
gdb-Breakpoints detecten
Durch ein sehr simples Demo-Programm aus dem lokalen IRC-Channel bin ich inspiriert worden, das ganze etwas zu verbessern, und ein paar simple Funktionen zu schreiben, mit denen man zur Laufzeit erkennen kann, ob innerhalb eines bestimmten Code ein Breakpoint gesetzt worden ist. Den Code dazu gibt's hier zum anschauen, und hier eine kurze Session:
$ gcc -g antibreak.c -o antibreak
$ ./antibreak
i=0
i=1
i=2
$ gdb antibreak
GNU gdb 6.3-debian
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-linux"...Using host libthread_db library "/lib/tls/libthread_db.so.1".
(gdb) break antibreak.c:11
Breakpoint 1 at 0x8048408: file antibreak.c, line 11.
(gdb) break antibreak.c:19
Breakpoint 2 at 0x804843d: file antibreak.c, line 19.
(gdb) break antibreak.c:32
Breakpoint 3 at 0x80484ce: file antibreak.c, line 32.
(gdb) r
Starting program: /home/ak/antibreak/antibreak
found breakpoint at address 0x0x8048408
found breakpoint at address 0x0x804843d
found breakpoint at address 0x0x80484ce
Program exited with code 01.
(gdb) quit
$
Um das gleich mal am anfang zu klären: ja, das funktioniert auch ohne -g, allerdings kann man dann im gdb keine Breakpoints auf Zeilennummern setzen.
Der Hintergrund: gdb setzt Breakpoints, indem der Maschinencode im Speicher so verändert wird, dass an der jeweiligen Stelle ein INT 3 (Opcode 0xCC) reingeschrieben wird.. Wird diese Stelle nun ausgeführt, löst dieser INT 3 einen Trap aus, bei dem sich gdb reinhängt, und vor einem Continue an die Stelle noch den vorherigen Opcode reinschreibt.
Die von mir geschriebenen Funktionen machen es nun so, dass man eine Start- und eine Endadresse angibt, und dieser Bereich von einem simplen x86 Opcode Decoder angeschaut wird, und wenn ein INT 3 gefunden wird, wird die Adresse der Instruktion zurrückgeliefert. Von diesem Punkt weg kann man dann solange weitere INT-3-Instruktionen suchen, bis man die Endadresse erreicht hatt. Den Opcode Decoder hab ich übrigens nicht selbstgeschrieben, sondern über Google gefunden, und für kompakt genug befunden, um den schnell mal via copy/paste zu verwenden. Als End-Adresse hab ich übrigens in allen Fällen die Startadresse der nächsten Funktion im Sourceode verwendet. Klar, das verlässt sich auf ein gcc-spezifisches Verhalten, aber hey, das ganze ist sowieso auch x86-spezifisch, also, was soll's?
Wer übrigens noch mehr über ein paar nette Anti-Debugging-Techniken unter Linux lesen möchste (kein Voodoo-Techniken, aber trotzdem ganz interessant für n00bs wie mich), dem kann ich nur diesen Text empfehlen.
Wie ich übrigens aus gut informierten Kreisen erfahren habe, gibt es noch eine andere Debugging-Technik, die auf den Debug-Registern des x86 aufbauen, und das dürfte von neueren gdb-Versionen schon (teilweise) unterstützt werden. Insofern ist nicht garantiert, dass das in Zukunft auch nur irgendwie funktioniert.
$ gcc -g antibreak.c -o antibreak
$ ./antibreak
i=0
i=1
i=2
$ gdb antibreak
GNU gdb 6.3-debian
Copyright 2004 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB. Type "show warranty" for details.
This GDB was configured as "i386-linux"...Using host libthread_db library "/lib/tls/libthread_db.so.1".
(gdb) break antibreak.c:11
Breakpoint 1 at 0x8048408: file antibreak.c, line 11.
(gdb) break antibreak.c:19
Breakpoint 2 at 0x804843d: file antibreak.c, line 19.
(gdb) break antibreak.c:32
Breakpoint 3 at 0x80484ce: file antibreak.c, line 32.
(gdb) r
Starting program: /home/ak/antibreak/antibreak
found breakpoint at address 0x0x8048408
found breakpoint at address 0x0x804843d
found breakpoint at address 0x0x80484ce
Program exited with code 01.
(gdb) quit
$
Um das gleich mal am anfang zu klären: ja, das funktioniert auch ohne -g, allerdings kann man dann im gdb keine Breakpoints auf Zeilennummern setzen.
Der Hintergrund: gdb setzt Breakpoints, indem der Maschinencode im Speicher so verändert wird, dass an der jeweiligen Stelle ein INT 3 (Opcode 0xCC) reingeschrieben wird.. Wird diese Stelle nun ausgeführt, löst dieser INT 3 einen Trap aus, bei dem sich gdb reinhängt, und vor einem Continue an die Stelle noch den vorherigen Opcode reinschreibt.
Die von mir geschriebenen Funktionen machen es nun so, dass man eine Start- und eine Endadresse angibt, und dieser Bereich von einem simplen x86 Opcode Decoder angeschaut wird, und wenn ein INT 3 gefunden wird, wird die Adresse der Instruktion zurrückgeliefert. Von diesem Punkt weg kann man dann solange weitere INT-3-Instruktionen suchen, bis man die Endadresse erreicht hatt. Den Opcode Decoder hab ich übrigens nicht selbstgeschrieben, sondern über Google gefunden, und für kompakt genug befunden, um den schnell mal via copy/paste zu verwenden. Als End-Adresse hab ich übrigens in allen Fällen die Startadresse der nächsten Funktion im Sourceode verwendet. Klar, das verlässt sich auf ein gcc-spezifisches Verhalten, aber hey, das ganze ist sowieso auch x86-spezifisch, also, was soll's?
Wer übrigens noch mehr über ein paar nette Anti-Debugging-Techniken unter Linux lesen möchste (kein Voodoo-Techniken, aber trotzdem ganz interessant für n00bs wie mich), dem kann ich nur diesen Text empfehlen.
Wie ich übrigens aus gut informierten Kreisen erfahren habe, gibt es noch eine andere Debugging-Technik, die auf den Debug-Registern des x86 aufbauen, und das dürfte von neueren gdb-Versionen schon (teilweise) unterstützt werden. Insofern ist nicht garantiert, dass das in Zukunft auch nur irgendwie funktioniert.
Saturday, June 3. 2006
1337 dog tag
On this picture you can see one of the few rare "1337" dog tags of the Austrian Army. These are not officials ones, of course, as no Austrian soldiers will ever have this unique ID, but they are made out of the very same material and with the very same machine as all the dog tags that are produced in Upper Austria for the Austrian Army. A good friend (you know who you are) will get one of them, I will keep one for myself, and the other three that I have will be handed over to 1337 people at the right occasions...Oh, and many thanks to Tjulz and "Lulu" Landerl for producing the dog tags for me!
About Me
Andreas Krennmair, software engineer, open-source developer, currently living and working in Berlin, Germany.
Calendar
|
July '17 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 | ||||||
Quicksearch
Show tagged entries
22c3 23c3 amsterdam announcement apache argentina army austria beer berlin book borland bsd c c++ camera censorship cms complaint concert cooking discordianism electronic music email fail feedreader fefe food fun gas mask gcc german germany git gnu golang google hacking history html http i18n imap internet israel job kaminer lecture linux linz mobile movie music network newsbeuter noos one panorama pearl jam performance perl photo photography photos pictures polaroid police politics problem programming quiz rant recommendation release rss ruby screencast seagull security series server ska skabucks southpark static content stfl terrorism travelling tv unix usa video vienna war weird wikipedia windows work wplotd youtube
Buttons
Syndicate This Blog
Blog Administration
Powered by
Blogroll
• xkcd.com
• Planet Debian
• MY POV ([expect the unexpected])
• C skills
• Planet Erlang / Published News
• armstrong on software
• Photos from akrennmair
• Das Metalab informiert
• dive into mark
• /usr/local/bin
• F!XMBR
• heise online News (full feed)
• JLog
• SecuriTeam Blogs
• .:Computer Defense:.
• Riot Porn
• Chaosradio
• Radiomultikulti vom RBB: Russendisko unplugged
• AK's weblog
• The Recurity Lablog
• milw0rm.com
• seclog.de
• ilja's blag
• udo.kernecker.at - mein leben als prinzregent... ;-)
• grabnerandi.at diary feed
• Hilli's WebLog
• accidents waiting to happen
• Venzi's Weblog
• TaoSecurity
• Irrlicht3d.org
• murphee's Rant
• waiterrant.net
• grml development blog
• mutt Changelog
• nion's blog
• Wannabe Everything
• blog@bytelabs
• Knowledge Brings Fear
• Die wunderbare Welt von Isotopp
• Fefes Blog
• law blog
• mikas blog
• BILDblog
• GoogleWatchBlog
• Krone - Blog
• The Lunatic Fringe
• mp's blog
• Su-Shee 2.0
• Sex, Drugs & Compiler Construction
• Qbi's Weblog
• gedankensplitter
• Ohns Gehirnschleimschmiede
• fh
• Clifford Wolf's Blog
• AK's moblog
• Telepolis News
• Slashdot
• Newssystem von bundesheer.at
• Riding Rails - home
• Serendipity
• O'Reilly Ruby
• CCC Events Weblog
• del.icio.us/dubrider
• del.icio.us/timpritlove
• del.icio.us/ak
• del.icio.us/mika
• AK's Soup
• Friends of ak
• Astronomy Picture of the Day
• german-bash.org - Die neuesten Zitate
• QDB
• WeirdWeirdWorld Latest Feed
• I CAN HAS CHEEZBURGER?
• The Trailer Mash
• Cruel.Com
• fun.drno.de
• Peter Pilz grüner Sicherheitssprecher Österreich Wien
• NPD-BLOG.INFO
• INSM Watchblog
• Hitler-Blog
• Everybody loves Eric Raymond
• Dilbert
• Planet Debian
• MY POV ([expect the unexpected])
• C skills
• Planet Erlang / Published News
• armstrong on software
• Photos from akrennmair
• Das Metalab informiert
• dive into mark
• /usr/local/bin
• F!XMBR
• heise online News (full feed)
• JLog
• SecuriTeam Blogs
• .:Computer Defense:.
• Riot Porn
• Chaosradio
• Radiomultikulti vom RBB: Russendisko unplugged
• AK's weblog
• The Recurity Lablog
• milw0rm.com
• seclog.de
• ilja's blag
• udo.kernecker.at - mein leben als prinzregent... ;-)
• grabnerandi.at diary feed
• Hilli's WebLog
• accidents waiting to happen
• Venzi's Weblog
• TaoSecurity
• Irrlicht3d.org
• murphee's Rant
• waiterrant.net
• grml development blog
• mutt Changelog
• nion's blog
• Wannabe Everything
• blog@bytelabs
• Knowledge Brings Fear
• Die wunderbare Welt von Isotopp
• Fefes Blog
• law blog
• mikas blog
• BILDblog
• GoogleWatchBlog
• Krone - Blog
• The Lunatic Fringe
• mp's blog
• Su-Shee 2.0
• Sex, Drugs & Compiler Construction
• Qbi's Weblog
• gedankensplitter
• Ohns Gehirnschleimschmiede
• fh
• Clifford Wolf's Blog
• AK's moblog
• Telepolis News
• Slashdot
• Newssystem von bundesheer.at
• Riding Rails - home
• Serendipity
• O'Reilly Ruby
• CCC Events Weblog
• del.icio.us/dubrider
• del.icio.us/timpritlove
• del.icio.us/ak
• del.icio.us/mika
• AK's Soup
• Friends of ak
• Astronomy Picture of the Day
• german-bash.org - Die neuesten Zitate
• QDB
• WeirdWeirdWorld Latest Feed
• I CAN HAS CHEEZBURGER?
• The Trailer Mash
• Cruel.Com
• fun.drno.de
• Peter Pilz grüner Sicherheitssprecher Österreich Wien
• NPD-BLOG.INFO
• INSM Watchblog
• Hitler-Blog
• Everybody loves Eric Raymond
• Dilbert