advanced breakpointing
play

Advanced Breakpointing Software Breakpoints INT 3 Memory - PowerPoint PPT Presentation

Jan 25, 2024 •125 likes •482 views

Advanced Breakpointing Software Breakpoints INT 3 Memory Breakpoints Page guarding Hardware Breakpoints CPU hardware 2 Software Breakpoints

  2. Advanced ¡Breakpointing ¡ � Software ¡Breakpoints ¡ � INT ¡3 ¡ � Memory ¡Breakpoints ¡ � Page ¡guarding ¡ � Hardware ¡Breakpoints ¡ � CPU ¡hardware ¡ 2

  3. Software ¡Breakpoints ¡ � Software ¡Breakpoints ¡ � A ¡software ¡breakpoint ¡is ¡an ¡interrupt ¡(0x3) ¡ � Generates ¡a ¡debug ¡event ¡of ¡ EXCEPTION_DEBUG_EVENT ¡for ¡the ¡debugger 3

  4. Software ¡Breakpoints ¡ � Setting ¡a ¡Breakpoint ¡ � To ¡set ¡a ¡breakpoint ¡at ¡address ¡ A bp ¡in ¡process ¡ memory: ¡ � Record ¡the ¡byte ¡value ¡at ¡ A bp ¡ � Set ¡the ¡byte ¡value ¡at ¡ A bp ¡to ¡0xCC ¡ � What ¡is ¡0xCC ¡again??? ¡ � Clearing ¡a ¡Breakpoint ¡ � To ¡clear ¡a ¡breakpoint ¡at ¡address ¡ A bp ¡in ¡process ¡ memory: ¡ � Restore ¡the ¡byte ¡value ¡at ¡ A bp ¡ 4

  5. Memory ¡Breakpoints ¡ � Problems ¡ � Software ¡interrupts ¡change ¡memory ¡values ¡ 5

  6. Memory ¡Breakpoints ¡ � Breaking ¡on ¡Read/Write/Execute ¡ � We ¡can ¡set ¡a ¡page ¡of ¡memory ¡with ¡ VirtualProtect() ¡and ¡ PAGE_GUARD � When ¡guarded ¡memory ¡is ¡accessed, ¡a ¡ STATUS_GUARD_PAGE_VIOLATION ¡exception ¡ is ¡generated ¡ 6

  7. Hardware ¡Breakpoints ¡ � Processor-­‑handled ¡Breakpointing ¡ � HW ¡breakpoints ¡are ¡not ¡interrupt ¡instructions ¡ � Special ¡hardware ¡dedicated ¡to ¡breakpoints ¡ � Special ¡“debug ¡registers” ¡interact ¡with ¡CPU ¡ 7

  8. Hardware ¡Breakpoints ¡ � x86 ¡Debug ¡Registers ¡ � DR0-­‑DR3: ¡linear ¡breakpoint ¡addresses ¡ � Up ¡to ¡4 ¡hardware ¡breakpoints ¡max ¡ � DR4-­‑DR5: ¡reserved ¡ � DR6: ¡debug ¡status ¡ � 4 ¡bits ¡(0,1,2,3) ¡which ¡are ¡set ¡upon ¡an ¡interrupt ¡ � Bits ¡must ¡be ¡unset ¡by ¡debug ¡exception ¡handler ¡ � DR7: ¡debug ¡control ¡ � Local/global ¡breakpoint ¡enables ¡(0,2,4,6/1,3,5,7) ¡ � R/W/X ¡breakpoint ¡trigger ¡option ¡ (16,17/20,21/24,25/28,29) ¡ � 1,2,8,4 ¡byte ¡breakpoint ¡trigger ¡area ¡ (18,19/22,23/26,27/30,31) ¡ 8

  9. Hardware ¡Breakpoints ¡ � x86 ¡Debug ¡Registers ¡ 9

  10. C++ ¡Reverse ¡Engineering ¡ � Differences ¡from ¡C ¡ � Indirect ¡calls ¡ � Via ¡vtables ¡ � Virtual ¡functions ¡ � Function ¡that ¡can ¡be ¡overridden ¡by ¡inheriting ¡object ¡ � The ¡ this ¡pointer ¡ � Object ¡oriented ¡programming ¡ 10

  11. C++ ¡Reverse ¡Engineering ¡ class Foo : Bar { public: Foo(); // constructor ~Foo(): // destructor int doFoo(); private: int doMoreFoo(); int x; int y; } 11

  12. C++ ¡vtables ¡ � Virtual ¡Functions ¡ � Can ¡be ¡overriden ¡in ¡inheriting ¡classes ¡ � What ¡is ¡printed? ¡ class A { public: virtual void func() {cout << “A”;} }; class B: public A { public: void func() {cout << “B”;} }; B *b = new B(); b->func(); 12

  13. C++ ¡vtables ¡ � Virtual ¡Method ¡Table ¡(vtable) ¡ � Array ¡of ¡pointers ¡to ¡the ¡functions ¡of ¡an ¡object ¡ � vpointer ¡points ¡to ¡the ¡vtable ¡ � First ¡member ¡of ¡the ¡object ¡for ¡MS ¡compilers ¡ � After ¡all ¡user-­‑declared ¡members ¡for ¡Unix ¡compilers ¡ � Indirect ¡call ¡ mov eax, [edi] // vtable mov ecx, edi // this ptr call dword ptr[eax+4h] // vtable method 13

  14. C++ ¡vtables ¡ class B1 { public: void f0() {} virtual void f1() {} int int_in_b1; }; class B2 { public: virtual void f2() {} int int_in_b2; }; 14

  15. C++ ¡vtables ¡ B2 *b2 = new B2(); // b2: // +0: pointer to vtable of B2 // +4: value of int_in_b2 // vtable of B2: // +0: B2::f2() 15

  16. C++ ¡vtables ¡ class D : public B1, public B2 { public: void d() {} void f2() {} // override B2::f2() int int_in_d; }; 16

  17. C++ ¡vtables ¡ D *d = new D(); // d: // +0: pointer to vtable of D (for B1) // +4: value of int_in_b1 // +8: pointer to vtable of D (for B2) // +12: value of int_in_b2 // +16: value of int_in_d // vtable of D (for B1): // +0: B1::f1() // B1::f1() is not overridden // vtable of D (for B2): // +0: D::f2() // B2::f2() is overridden by D::f2() 17

  18. C++ ¡vtables ¡ 18

  19. C++ ¡vtables ¡ � B1 ¡Constructor ¡ � Initializes ¡vtable ¡for ¡this ¡object ¡ 19

  20. C++ ¡vtables ¡ 20

  21. Symbols ¡ � Debug ¡Symbols ¡ � Attaches ¡names ¡to ¡variables ¡and ¡methods ¡ � May ¡be ¡compiled ¡into ¡the ¡binary ¡ � May ¡be ¡distributed ¡in ¡a ¡separate ¡file ¡ � May ¡be ¡destroyed ¡upon ¡compilation/linking ¡ � Most ¡debuggers ¡have ¡support ¡for ¡symbols ¡ 21

  22. Name ¡Mangling ¡ � Name ¡Mangling ¡ ¡ � Compiler ¡symbols ¡for ¡ � Functions ¡ � Structures ¡ � Classes ¡ � … ¡ � Used ¡to ¡distinguish ¡identifiers ¡of ¡the ¡same ¡name ¡ in ¡different ¡namespaces ¡ � Used ¡by ¡the ¡compiler ¡for ¡function ¡overloading ¡ 22

  23. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C) ¡ � Fairly ¡standardized ¡ � Not ¡useful ¡in ¡C ¡since ¡function ¡overloading ¡is ¡not ¡allowed ¡ int _cdecl f (int x) { return 0; } int _stdcall g (int y) { return 0; } int _fastcall h (int z) { return 0; } � Mangled ¡names ¡ � _f ¡ � _g@4 ¡ � @h@4 ¡ 23

  24. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C++) ¡ � Highly ¡used, ¡most ¡non-­‑standardized ¡ int f (void) { return 1; } int f (int) { return 0; } void g (void) { int i = f(), j = f(0); } � Mangled ¡names ¡ � __f_v ¡ � __f_i ¡ � __g_v ¡ 24

  25. Name ¡Mangling ¡ � Name ¡Mangling ¡(in ¡C++) ¡ 25

  26. Name ¡Demangling ¡ � Name ¡Demangling ¡ � Good ¡disassemblers ¡support ¡name ¡demangling ¡ � Allows ¡you ¡to ¡guess ¡function ¡types ¡ 26

  27. Windows ¡Internals ¡ � Process/Thread ¡Information ¡ � PEB ¡ � TEB ¡ � Exception ¡Handling ¡ � VEH ¡ � SEH ¡ � UEF ¡ 27

  28. Process ¡Environment ¡Block ¡ (PEB) ¡ � PEB ¡ � Pointer ¡to ¡the ¡PEB ¡located ¡at ¡fs:[0x30] ¡ � Not ¡entirely ¡documented ¡ � Contains ¡informative ¡information ¡ � Initialized ¡by ¡kernel ¡or ¡PE ¡header ¡ � Contains ¡runtime ¡information ¡ � BeingDebugged ¡ � Ldr ¡ � Loaded ¡modules ¡ � ProcessParameters ¡ � Information ¡like ¡command ¡line ¡arguments ¡ 28

  29. Thread ¡Environment ¡ Block ¡(TEB) ¡ � TEB ¡ � Also ¡called ¡Thread ¡Information ¡Block ¡(TIB) ¡ � Located ¡at ¡fs:[0x0] ¡ � Contains ¡information ¡about ¡a ¡single ¡thread ¡ � Current ¡SEH ¡frame ¡(fs:[0x0]) ¡ � Linear ¡address ¡of ¡the ¡TIB ¡(fs:[0x18]) ¡ � Process ¡ID ¡(fs:[0x20]) ¡ � Thread ¡ID ¡(fs:[0x24]) ¡ � Pointer ¡to ¡the ¡process ¡PEB ¡(fs:[0x30]) ¡ 29

  30. Thread ¡Contexts ¡ � Context ¡ � The ¡state ¡of ¡a ¡thread’s ¡execution ¡ � Essentially ¡all ¡registers ¡ � GP ¡registers ¡ � Memory ¡segment ¡registers ¡ � EIP ¡ � … ¡ � One ¡context ¡per ¡thread ¡ 30

  31. Windows ¡Exception ¡Handling ¡ 1. Vectored ¡Exception ¡Handler ¡(VEH) ¡ 2. Structured ¡Exception ¡Handler ¡(SEH) ¡Chain ¡ 3. Unhandled ¡Exception ¡Filter ¡(UEF) ¡ 31

  32. Vectored ¡Exception ¡Handler ¡ � VEH ¡ � New ¡feature ¡starting ¡in ¡Windows ¡XP ¡ � Chain ¡of ¡pointers ¡to ¡exception ¡handlers ¡ � Chain ¡is ¡located ¡on ¡the ¡heap ¡as ¡a ¡linked ¡list ¡ � When ¡an ¡exception ¡occurs, ¡the ¡VEH ¡chain ¡is ¡ traversed ¡for ¡an ¡appropriate ¡handler ¡ � VEHs ¡are ¡not ¡frame ¡based ¡ � Unlike ¡SEHs, ¡VEHs ¡may ¡be ¡triggered ¡from ¡anywhere ¡ in ¡the ¡process ¡ � Vectored ¡exception ¡handling ¡occurs ¡before ¡any ¡ frame-­‑based ¡handlers ¡(like ¡SEH) ¡ 32

  33. Structured ¡Exception ¡Handler ¡ � SEH ¡Chain ¡ � Chain ¡of ¡pointers ¡to ¡exception ¡handlers ¡ � Chain ¡is ¡located ¡on ¡the ¡stack ¡as ¡a ¡linked ¡list ¡ � try / catch ¡(or ¡ __try / __except ) ¡blocks ¡install ¡ these ¡handlers ¡in ¡the ¡chain ¡ � When ¡an ¡exception ¡occurs, ¡the ¡SEH ¡chain ¡is ¡ traversed ¡for ¡an ¡appropriate ¡handler ¡ 33

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online

Advanced Nutrition Course Advanced Nutrition Course 6 Week Advanced Nutrition Live Online Training Course Week 5: Mind Body Connection Advanced Nutrition Course Advanced Nutrition Course Week 3 Recap Understanding emotions

670 views • 15 slides
Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory

Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory

Advanced UNIX CIS 218 Advanced UNIX Director ies again CIS 218 Advanced UNIX 1 Directory Implementation The starting (root) directory of each filesystem is created by formatting . A UNIX directory is a file : it has an owner, group

502 views • 12 slides
Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing

Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing

Advanced Manufacturing @ Forsyth Tech Gary M. Green President Advanced Manufacturing Capabilities Product and Advanced Emerging Industrial Manufacturing Technologies Design Production Advanced Organizational Transportation

132 views • 12 slides
Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who

Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who

Advanced Learning for Grades 6-12 Highly Capable and Advanced Learning Services Welcome! Who are Advanced Learners? Highly Capable Students who perform or show potential for performing at significantly advanced academic levels when

614 views • 12 slides
Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical

Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical

Advanced Geophysical Classification Projects September 13, 2016 1 Advanced Geophysical Classification Advanced EMI sensors utilize multiple transmitter and receiver coils to acquire data from numerous angles and positions Rich dataset can

927 views • 8 slides
ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with

ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with

ADVANCED PLACEMENT The purpose of the Advanced Placement program is to provide the students with challenging coursework that culminates with an external examination. BENEFITS OF ADVANCED PLACEMENT Possible College Credit Early completion

601 views • 6 slides
Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a

Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a

Advanced SQL II Advanced Aggregation and OLAP 5DV120 Database System Principles Ume a University Department of Computing Science Stephen J. Hegner hegner@cs.umu.se http://www.cs.umu.se/~hegner Advanced SQL II Advanced

388 views • 35 slides
Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to

Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to

Advanced UNIX CIS 218 Advanced UNIX 1 . The File Structure (Ch. 4 , Sobell) Objectives to supplement the Introduction to UNIX slides with extra information on files 1 CIS 218 Advanced UNIX Overview 1 . Access Permissions 2 . Links 2

358 views • 22 slides
BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE

BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE

SIKESTON BOARD OF MUNICIPAL UTILITIES ADVANCED METERING INFRASTRUCTURE ADVANCED METERING INFRASTRUCTURE AMI is an integrated system of advanced meters, communications networks, and data management systems that enables two-way communication

543 views • 7 slides
Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE

Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE

3G Evolution Outline Chapter: 22 p 22 History and Background IMT-Advanced Time Schedule in ITU LTE Advanced LTE Ad LTE Advanced d Fundamental requirements for LTE Advanced Payam Amani Extended Requirements Beyond ITU

244 views • 7 slides
Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement

Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement

Advanced Placement/Dual Enrollment Course Info. Session: February 13, 2020 Advanced Placement Program Mr. Anthony Vargas MCPS, Supervisor of Gifted/Talent and Advanced Programs What are the advantages of taking an AP course in high school?

243 views • 21 slides
THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced

THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced

THE ROLE OF THE ADVANCED CLINICAL PRACTITIONER IN MIDWIFERY Louise Clarke Trainee Advanced Clinical Practitioner in Complex High risk Maternity Care History of Advanced Clinical practice in Midwifery The four pillars of advanced More

483 views • 16 slides
Advanced Virgo (Report on Advanced Virgo stay)

Advanced Virgo (Report on Advanced Virgo stay)

Advanced Virgo (Report on Advanced Virgo stay) KAGRA Observatory, ICRR, the University of Tokyo (NAGANO Koji) Extended

1.03k views • 67 slides
Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care

Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care

Regional Leadership Forums on Advanced Illness Care The Coalition To Transform Advanced Care Eugene Washington PCORI Engagement Award C-TACs Vision: all Americans with advanced illness will receive comprehensive, high-quality, person- and

271 views • 11 slides
CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming

CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming

CIS 218 Advanced UNIX (g)awk CIS 218 Advanced UNIX 1 Overview awk is a programming language Awk uses syntax based on grep and sed for handling numbers and text awk provides field level addressability. And within a field (word)

662 views • 40 slides
What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape

What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape

DDoS &amp; Modern Threat Motives Dan Holden Director, ASERT What Does This Advanced Threat Landscape Look Like? Advanced Threat Landscape Geo-poli:cal More defenses ? App/Content t a

1.13k views • 44 slides
Heavy Hadron Hadron Spectroscopy Spectroscopy and and Heavy Production at Tevatron Tevatron

Heavy Hadron Hadron Spectroscopy Spectroscopy and and Heavy Production at Tevatron Tevatron

Heavy Hadron Hadron Spectroscopy Spectroscopy and and Heavy Production at Tevatron Tevatron Production at Igor V. Gorelov University of New Mexico, USA On behalf of CDF and D Collaborations XIV International Conference on Hadron

325 views • 29 slides
Easy, Scalable, Fault-tolerant Stream Processing with St Structured ed St Strea eamin ing

Easy, Scalable, Fault-tolerant Stream Processing with St Structured ed St Strea eamin ing

Easy, Scalable, Fault-tolerant Stream Processing with St Structured ed St Strea eamin ing Burak Yavuz DataEngConf NYC October 31 st 2017 Who am I Software Engineer Databricks - We make your

804 views • 66 slides
Point of Departure : Pnueli &amp; Shalevs 1991 paper Whats in a Step: On the semantics of

Point of Departure : Pnueli &amp; Shalevs 1991 paper Whats in a Step: On the semantics of

Point of Departure : Pnueli &amp; Shalevs 1991 paper Whats in a Step: On the semantics of Statecharts Pnueli and Shalev show how, while observing global consistency and causality, the synchronous language Statecharts can be given

494 views • 13 slides
Trigger &amp; DAQ Development Wesley H. Smith U. Wisconsin Madison Instrumentation Frontier

Trigger &amp; DAQ Development Wesley H. Smith U. Wisconsin Madison Instrumentation Frontier

Trigger &amp; DAQ Development Wesley H. Smith U. Wisconsin Madison Instrumentation Frontier Meeting U. Minnesota, July 31, 2013 with input from Su Dong, Gunther Haller, Mike Huffer, Ted Liu Outline: ! Trigger &amp; DAQ Challenges !

465 views • 21 slides
Privileges Grant and Revoke Grant Diagrams A file system:

Privileges Grant and Revoke Grant Diagrams A file system:

Privileges Grant and Revoke Grant Diagrams A file system: Identifies certain privileges on the objects (files) it manages. Typically read, write, execute. Identifies certain participants to whom

722 views • 30 slides
S i l i c o n d e t e c t o r s : s t a t e o f t h e a r t &amp; p

S i l i c o n d e t e c t o r s : s t a t e o f t h e a r t &amp; p

S i l i c o n d e t e c t o r s : s t a t e o f t h e a r t &amp; p o s s i b l e o p t i o n s f o r MU o n E S t e f a n o Me r s i , C E R N T h e E v a l u a t i o

1.05k views • 66 slides
Theory of Computer Games: Concluding Remarks Tsan-sheng Hsu tshsu@iis.sinica.edu.tw

Theory of Computer Games: Concluding Remarks Tsan-sheng Hsu tshsu@iis.sinica.edu.tw

Theory of Computer Games: Concluding Remarks Tsan-sheng Hsu tshsu@iis.sinica.edu.tw http://www.iis.sinica.edu.tw/~tshsu 1 Abstract Introducing practical issues. The open book. The graph history interaction (GHI) problem. Smart

884 views • 28 slides
Hardware Operators for Pairing-Based Cryptography Part I: Because size matters Jean-Luc

Hardware Operators for Pairing-Based Cryptography Part I: Because size matters Jean-Luc

Hardware Operators for Pairing-Based Cryptography Part I: Because size matters Jean-Luc Beuchat Laboratory of Cryptography and Informantion Security University of Tsukuba, Japan jeanluc.beuchat@gmail.com Joint work with: enaire, LIP,

1.73k views • 139 slides

More recommend