逆向

Linux调试

gdb

基本命令

• 运行：run -r
• 继续执行：continue -c
• 设置程序参数：set args xxx
• 单步步过：n/next
• 单步步入：s/step
• 以汇编指令为单位执行：ni/si
• 直接按回车可以重复上一条命令
• break *0x400100 #在0x400100地址上下断点
• break main # 在main函数入口下断点（在main函数内部）
• info/del break # 显示/删除断点
• break line-or-function if expr # 条件断点
• save breakpoint bp_info # 保存断点信息
• source bp_info # 载入断点信息
• gdb program -x bp_info # gdb启动时载入断点数据

查看变量

• print $rax 查看寄存器内容

查看内存数据

命令格式：x/nfu address

n：是一个正整数，表示显示内存的长度，也就是说从当前地指向后显示几个地址的内容

f：表示显示的格式

u：表示从当前地址往后请求的字节数，如果不指定的话，GDB默认是4个bytes

自动显示

display /i $rip # 执行一个命令后自动以“指令”的形式显示rip的值

查看寄存器的值

info registers

info all-registers

gdb-peda

帮助

peda help

查找函数的交叉引用

xrefs proc|data

检查程序的安全编译选项信息

checksec [file]

查看代码、栈、寄存器信息

context_code [linecount] 根据当前eip的值显示附近指定行数的指令数据

context_stack [linecount] 从当前esp开始显示linecount条栈中数据

context_register 等同于inforegister，但是更加详细

开始调试

start

显示进程的pid

getpid

显示各模块的地址和范围

vmmap

查看详细信息

xinfo address 显示内存中的信息

xinfo register [reg1 reg2] 显示寄存器中的信息

显示内存内容

telescope [address] [linecount] 默认从当前esp开始显示8行（可以智能对内存数据进行解析）

hexdump address [count]以类似于OD的方式显示内存数据

生成填充数据

• pattern create size [file]

  生成填充数据，可以保存到file文件

• pattern offset value

  判断溢出所需的大小，可以根据溢后的eip值或者[ebp+4]的值作为value

  

• pattern search

  判断哪些寄存器和内存地址出现了pattern数据

生成shellcode

shellcode generate

只能生成x86shellcode，详细内容：peda help shellcode

内存搜索

find [string]

目前在ctf中的逆向，遇到加壳的几乎都可以使用upx -d [file]解决。