代码还原的技术: Unidbg hook_add_new实现条件断点(二)

公众号: 奋飞安全
• 阅读 1585

一、目标

在做代码还原的时候,有时候会分析一组结果,希望在中途下个条件断点,比如在代码行0x1234,R0=0x5678的时候触发断点。

今天我们就来试着搞一下。

TIP: Unidbg代码同步到官方最新版,最新版已经支持浮点寄存器的显示了。

二、步骤

先写个floatdemotwo

把祖传算法升个级

extern "C" JNIEXPORT jstring JNICALL
Java_com_fenfei_app_floatdemo_MainActivity_stringFromJNI(
        JNIEnv* env,
        jobject Obj, jdouble value) {
    std::string hello = "Hello from C++";

    double p=3.14159;
    double s,v,rc;

    for(int i=0 ; i< 10; i++){
        hello +="\n";

        v = 2*p* (value + i);
        s = p * (value + i) * (value + i);

        rc = v+s;

        hello += std::to_string(rc);

    }

    return env->NewStringUTF(hello.c_str());
}

算出10个圆的周长和面积之和。

打印出来结果是这样的

Hello from C++
150.796320
197.920170
251.327200
311.017410
376.990800
449.247370
527.787120
612.610050
703.716160
801.105450

我们的目标是要在结果等于 #449.247370# 的时候触发断点,假装分析下后面 527.787120 的计算过程。

IDA一把

代码还原的技术: Unidbg hook_add_new实现条件断点(二)

我们在0x127C0下断点,然后n单步几下,到了0x127D4,执行完 FADD D0, D1, D0 这个加法指令之后,可以看到 D0的值是 150.796320

目标就是它了。我们把条件断点下在0x127D4,当D0=449.247370 的时候触发。

hook_add_new

先创建一个ffcodehook类,继承自com.github.unidbg.arm.backend.CodeHook 然后把它加入到emulator

// com/fenfei/test/runfloatdemo.java
analyseHookA = new FFCodehook(emulator);
emulator.getBackend().hook_add_new(analyseHookA, module.base + 0x127D8, module.base + 0x127D8, emulator);

// com/fenfei/test/ffcodehook.java
public class FFCodehook implements CodeHook {
    private final Emulator<?> emulator;
    public FFCodehook(Emulator<?> emulator) {
        super();

        this.emulator = emulator;
    }

    private Unicorn.UnHook unHook;

    @Override
    public void onAttach(Unicorn.UnHook unHook) {
        if (this.unHook != null) {
            throw new IllegalStateException();
        }
        this.unHook = unHook;
    }

    @Override
    public void detach() {
        if (unHook != null) {
            unHook.unhook();
            unHook = null;
        }
    }

    private static BigInteger newBigInteger(byte[] data) {
        if (data.length != 16) {
            throw new IllegalStateException("data.length=" + data.length);
        }
        byte[] copy = Arrays.copyOf(data, data.length);
        for (int i = 0; i < 8; i++) {
            byte b = copy[i];
            copy[i] = copy[15 - i];
            copy[15 - i] = b;
        }
        byte[] bytes = new byte[copy.length + 1];
        System.arraycopy(copy, 0, bytes, 1, copy.length); // makePositive
        return new BigInteger(bytes);
    }

    @Override
    public void hook(Backend backend, long address, int size, Object user) {
        try {
            if (address == 0x400127d8) {

                byte[] data = backend.reg_read_vector(Arm64Const.UC_ARM64_REG_Q0);
                if (data != null) {
                    String strShow = String.format(Locale.US, " Q0=0x%s%s", newBigInteger(data).toString(16), Utils.decodeVectorRegister(data));
                    System.out.println("##### value  " + strShow);
                }
            }
        } catch (BackendException e) {
            throw new IllegalStateException(e);
        }
    }
}

这样就可以把运行到 0x127D8 指令时的 D0的值都打印出来。

##### value   Q0=0x4062d97b7414a4d2(150.79631999999998)
##### value   Q0=0x4068bd72085b1854(197.92016999999998)
##### value   Q0=0x406f6a786c22680a(251.3272)
##### value   Q0=0x407370474fb549fa(311.01741000000004)
##### value   Q0=0x40778fda5119ce07(376.9908)
##### value   Q0=0x407c13f53a3ec02f(449.24737)
##### value   Q0=0x40807e4c05921038(527.78712)
##### value   Q0=0x408324e161e4f765(612.6100499999999)
##### value   Q0=0x4085fdbab21815a0(703.71616)
##### value   Q0=0x408908d7f62b6ae8(801.10545)

来个条件

现在可以做判断了,在 D0=449.247370 的时候断在它的下一一行,进入调试模式。

double bOutD = bytes2Double(data);
if(bOutD == 449.247370){
    Debugger MyDbg = emulator.attach(DebuggerType.CONSOLE);
    MyDbg.addBreakPoint(0x400127dc);
}

好了,成功进入到了调试模式,可以慢慢分析后面 527.787120 的计算过程了。

注意: 浮点数不能直接用 == 判断,因为精度不一样,比较安全的做法是这样的:

final double THRESHOLD = .0001;
double bOutD = bytes2Double(data);
if (Math.abs(bOutD - 449.247370 ) < THRESHOLD) {
    ...
}

三、总结

条件断点在分析一组数据的时候很有用。

hook_add_new其实还可以当Inline Hook用。你也许会问,Inline Hook使用 xhook和其他一些Hook工具不香吗?

悟空,等你遇到那些神通广大会检测重要代码是否被修改的妖怪的时候,就会想起“硬件断点”的好处了。

代码还原的技术: Unidbg hook_add_new实现条件断点(二)

老一辈的人常告诉我们,年轻的时候多吃点苦,这样老了才能习惯啊!

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Wesley13 Wesley13
3年前
PHP POST 接受长字符串时出现500错误
昨天在开发的时候遇到一个问题,formentype“multipart/formdata”表单提交时显示500错误。开始我以为是php代码问题,我检查了一遍代码,没有问题。之后设置断点,依旧报错500,这就说明断点代码就没有执行,表单提交动作根本没有触发后端的php代码。于是,我将注意力放在了php配置上,反复修改配置调试,而且重装了php依
Easter79 Easter79
3年前
Twitter的分布式自增ID算法snowflake (Java版)
概述分布式系统中,有一些需要使用全局唯一ID的场景,这种时候为了防止ID冲突可以使用36位的UUID,但是UUID有一些缺点,首先他相对比较长,另外UUID一般是无序的。有些时候我们希望能使用一种简单一些的ID,并且希望ID能够按照时间有序生成。而twitter的snowflake解决了这种需求,最初Twitter把存储系统从MySQL迁移
Wesley13 Wesley13
3年前
Java与JS代码调试技巧
断点的分类,断点可以到到类名上,变量行上,方法名上。    java源码上可以打断点,断点打到方法头上,编译的时候断点信息不会被去除掉,编译后的class文件在debug模式下运行,可以触发断点,挂起线程。    eclipse的断点,都可以进行属性设置,设置断点触发的场景(例如,断点的可用性,触发场景,过滤执行线程)。  
Stella981 Stella981
3年前
Android蓝牙连接汽车OBD设备
//设备连接public class BluetoothConnect implements Runnable {    private static final UUID CONNECT_UUID  UUID.fromString("0000110100001000800000805F9B34FB");
Easter79 Easter79
3年前
Spring的注解@SuppressWarnings用法记录
@SuppressWarnings注解用法@SuppressWarnings注解主要用在取消一些编译器产生的警告对代码左侧行列的遮挡,有时候这会挡住我们断点调试时打的断点。如图所示:!(https://oscimg.oschina.net/oscnet/a7b24a067d19d030557e23c76abeaa34e93.png)
Stella981 Stella981
3年前
Hibernate纯sql查询结果和该sql在数据库直接查询结果不一致
问题:今天在做一个查询的时候发现一个问题,我先在数据库实现了我需要的sql,然后我在代码中代码:selectdistinctd.id,d.name,COALESCE(c.count_num,0),COALESCE(c.count_fix,0),COALESCE(c
Python进阶者 Python进阶者
1年前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44