Debugging Windows Programs

Para identificar e explorar com êxito buffer overflows em programas do Windows, precisamos depurar o programa para seguir seu fluxo de execução e seus dados na memória. Existem muitas ferramentas que podemos usar para depuração, como Immunity Debugger , OllyDBG , WinGDB ou IDA Pro . No entanto, esses depuradores estão desatualizados (Immunity/OllyDBG) ou precisam de uma licença profissional para uso (WinGDB/IDA).

Para esses exercícios usaremos x64dbg , que é um excelente depurador do Windows voltado especificamente para exploração binária e engenharia reversa. x64dbgé uma ferramenta de código aberto desenvolvida e mantida pela comunidade e também suporta depuração x64 (ao contrário do Immunity), para que possamos continuar a usá-la quando quisermos migrar para buffer overflows x64 do Windows.

ERC

Para instalar o ERCplugin, podemos ir até a página de lançamento e baixar o ziparquivo que corresponde à nossa VM ( x64ou x32), que no nosso caso é ERC.Xdbg_32-<SNIP>.zip. Depois de baixá-lo para nossa VM do Windows, podemos extrair seu conteúdo para x32dbga pasta de plug-ins localizada em C:\Program Files\x64dbg\x32\plugins.

Quando isso for concluído, o plugin deverá estar pronto para uso. Assim, uma vez executado x32dbg, podemos digitar ERC --helpna barra de comando na parte inferior para visualizar ERCo menu de ajuda.

Para visualizar a ERCsaída do ' , devemos mudar para a Logaba clicando nela ou clicando em Alt+L, como podemos ver abaixo:

ERC Log

Também podemos definir um diretório de trabalho padrão para salvar todos os arquivos de saída, usando o seguinte comando:

ERC --config SetWorkingDirectory C:\Users\htb-student\Desktop\

x64dbgvem com dois aplicativos separados, um para x32e outro para x64, cada um em sua pasta. Clicar x96dbg.execonforme observado acima irá registrar a versão que corresponde à nossa VM Windows, que no nosso caso é essa x32.

Feito isso, podemos encontrar o x32dbgícone em nossa área de trabalho e clicar duas vezes nele para iniciar nosso depurador:

x32dbg

Dica: Para usar o tema escuro como a imagem acima, basta acessar Options > Themee selecionar dark.

Depurando um programa

Sempre que quisermos depurar um programa, podemos executá-lo por meio de x32dbg, ou executá-lo separadamente e depois anexar ao seu processo por meio de x32dbg.

Para abrir um programa com x32dbg, podemos selecionar File>Openou pressionar F3, o que nos solicitará que selecionemos o programa a ser depurado. Se quiséssemos anexar a um processo/programa que já está em execução, poderíamos selecionar File>Attachou pressionar Alt+A, e ele nos apresentará vários processos em execução acessíveis ao nosso usuário:

Podemos selecionar o processo que queremos depurar e clicar Attachpara começar a depurá-lo.

Dica: Se quisermos depurar um processo e ele não foi mostrado na "Janela de Anexação", podemos tentar executar o x32dbg como administrador, clicando em File > Restart as Admin, e então teremos acesso a todos os processos em execução em nossa VM.