我是一名安全人员,我对此进行了广泛的研究,目前我正在寻找下一步的指导。
另外,很抱歉发了这么长的帖子,我把重要的部分加粗了。
我在高层次上尝试做的事情很简单: 我正在尝试将一些数据输入到程序中,然后“跟踪”这些数据,并跟踪它的处理方式和最终位置。
例如,如果我将我的登录凭据输入到 FileZilla,我想跟踪访问的每个内存引用,并启动跟踪以跟踪数据的去向、它被发送到哪些库,以及如果我可以关联的话奖励积分它归结为网络数据包。
现在我专注于 Windows 平台,我认为我的主要问题归结为: 是否有任何好的 API 可以远程控制理解 Windows 窗体和系统库的调试器?
以下是我目前发现的关键属性:
以下是我试用过的工具合集:
我玩过以下所有工具:WinDBG(很棒的工具)、IDA Pro、CheatEngine、x64dbg、vdb(python 调试器)、Intel 的 PIN、Valgrind 等...
接下来是一些动态污点分析工具,但它们不支持检测 .NET 组件或 Windows 调试框架由 Inspect.exe 等实用程序 native 提供的其他便利:
然后我尝试使用 IDebugClient 接口(interface)编写我自己的 C# 程序,但它的文档很少,我能找到的最好的项目来自这个家伙,已经 3 年了: C# app to act like WINDBG's "step into" feature
我愿意为适合此用例的现有项目贡献代码,但此时我什至不知道从哪里开始。
我觉得作为一个整体的动态程序分析和调试工具可以使用一些爱...我觉得有点卡住了,不知道从这里转移到哪里。有许多不同的工具和方法可以解决这个问题,而且它们都在某种程度上有所欠缺。
无论如何,我感谢任何指导或指导。如果你做到了这一点,谢谢!!
-戴夫
最佳答案
如果您坚持在运行时执行此操作,Valgrind 或 Pin 可能是您的最佳选择。据我了解(从未使用过),您可以配置这些工具以任意方式解释每条机器指令。您希望通过机器指令跟踪数据流以跟踪受污染的数据(读取此类数据,然后写入寄存器或条件代码位)。一个复杂的问题可能是将违规指令的来源追溯到程序元素(DLL?链接模块?命名子例程),以便您可以适本地投诉。
就个人而言,这是一项您可能会成功完成的任务。
这应该适用于应用程序。
我怀疑您的问题之一是跟踪操作系统中的位置。尽管适用相同的原则,但这要困难得多;您的困难在于让操作系统供应商让您跟踪在操作系统中执行的指令。
作为运行时分析这样做有一个缺点,即如果恶意应用程序没有对您的特定执行做任何坏事,您将不会发现任何问题。这是动态分析的典型缺点。
您可以考虑使用经典编译器技术在源代码级别跟踪数据。这要求您可以访问所有可能涉及的源代码(如果您的应用程序依赖于各种各样的库,这实际上非常困难),您拥有可以通过源模块解析和跟踪数据流的工具,并且这些工具相互交流不同的语言(汇编程序、C、Java、SQL、HTML,甚至 CSS...)。
作为静态分析,无论发生哪种执行,这都有机会检测到不需要的数据流。图灵限制意味着您可能无法检测到所有此类问题。这就是静态分析的缺点。
构建您自己的工具,甚至集成个人工具来执行此操作可能超出您作为个人可以合理完成的范围。您需要找到构建此类工具的统一框架。 [检查我的简历]。
关于c# - 通过应用程序代码和系统库跟踪数据输入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42798523/
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
对于具有离线功能的智能手机应用程序,我正在为Xml文件创建单向文本同步。我希望我的服务器将增量/差异(例如GNU差异补丁)发送到目标设备。这是计划:Time=0Server:hasversion_1ofXmlfile(~800kiB)Client:hasversion_1ofXmlfile(~800kiB)Time=1Server:hasversion_1andversion_2ofXmlfile(each~800kiB)computesdeltaoftheseversions(=patch)(~10kiB)sendspatchtoClient(~10kiBtransferred)Cl
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
我想用ruby编写一个小的命令行实用程序并将其作为gem分发。我知道安装后,Guard、Sass和Thor等某些gem可以从命令行自行运行。为了让gem像二进制文件一样可用,我需要在我的gemspec中指定什么。 最佳答案 Gem::Specification.newdo|s|...s.executable='name_of_executable'...endhttp://docs.rubygems.org/read/chapter/20 关于ruby-在Ruby中编写命令行实用程序
我构建了两个需要相互通信和发送文件的Rails应用程序。例如,一个Rails应用程序会发送请求以查看其他应用程序数据库中的表。然后另一个应用程序将呈现该表的json并将其发回。我还希望一个应用程序将存储在其公共(public)目录中的文本文件发送到另一个应用程序的公共(public)目录。我从来没有做过这样的事情,所以我什至不知道从哪里开始。任何帮助,将不胜感激。谢谢! 最佳答案 无论Rails是什么,几乎所有Web应用程序都有您的要求,大多数现代Web应用程序都需要相互通信。但是有一个小小的理解需要你坚持下去,网站不应直接访问彼此
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
