udbg

Кроссплатформенная библиотека для двоичной отладки и взлома памяти, написанная на Rust.

• ? Кроссплатформенность: udbg объединяет детали разных интерфейсов на разных платформах и предоставляет унифицированные интерфейсы.
• ? Множественная цель: в большинстве случаев вы можете управлять несколькими целями отладки.
• ? Неинвазивность: вы можете только просматривать информацию о цели, а не прикреплять к ней
• ? Различные типы целей: помимо процесса, целью может быть minidump , PE file и даже пространство ядра ОС с дополнительным расширением.

В udbg есть два основных типа интерфейсов: интерфейсы целевой информации и интерфейсы отладки.

Интерфейсы целевой информации, абстрагированные как признак UDbgTarget , представляют собой наблюдаемую цель отладки, в большинстве случаев это active process , а также это может быть minidump , PE file или даже пространство ядра ОС с дополнительным расширением.

UDbgTarget содержит эти функции, memory operation (чтение/запись/перечисление), перечисление module , перечисление thread , перечисление handle/FDs и т. д. На основе этих функций мы можем реализовать некоторые утилиты для различных типов целей, такие как дамп модуля , поиск в памяти , сканирование перехватчиков , сканирование вредоносного кода и т. д.

Интерфейсы отладки, абстрагированные как особенность UDbgEngine , в основном обеспечивают возможность управления процессом. Существует default implementation , обычно она включает в себя функции отладки в Windows и интерфейсы ptrace в Linux.

Большинство из вышеперечисленных интерфейсов были разработаны как динамические объекты, что удобно для привязки сценариев, а udbg по умолчанию предоставляет lua bindings .

Текущее состояние целевых информационных интерфейсов

Текущее состояние интерфейсов отладки

• Межплатформенные интерфейсы для получения целевой информации: см. src/test.rs fn target
• Напишите базовый отладчик, см. src/test.rs fn test_debug