TAHA
10-28-2009, 09:12 PM
ollydbg بین cracker ها یا افرادی که دنبال dynamic runtime analyzer هستن خیلی چیز خوبیه اما چون ollydbg رو فقط یه نفر مینویسه و خیلی دیر اپدیت میشه و نوشتن پلاگین براش راحت نیست خوب بود که یه چیزی مثل همون وجود داشته باشه ولی بدون این نقصها
immunity debugger این مشکلاتو نداره و هدفش با ollydbg فرق داره ! قبل از این هیچ دیباگر خوبی که بشه راحت براش اسکریپت و پلاگین نوشت یا میشد ازش تو برنامه ها استفاده کرد وجود نداشت ! windbg اصلا user friendly نیست و دستورات خیلی زیاد و پیچیده ای داره و بازم اسکریپت و پلاگین نوشتن براش سخته و بهر حال نمیشه از امکاناتش تو برنامه های دیگه استفاده کرد ! مثلا نمیتونی از windbg کمک بگیری و یه لودر بنویسی که یه کد self-decrypting رو قدم به قدم disassemble کنه و هر وقت استک یه شرایط خاصی داشت یه آفستی تغییر کنه ! خود ollydbg هم این امکانو نداره و پلاگین نوشتن براش کار ساده ای نیست !
کسائی که در زمینه vulnerability research و exploit development فعالیت میکنن نیازاشون با cracker ها یا quality tester ها یا developer ها فرق میکنه . باید محیط کار منعطف باشه و بشه با اسکریپت همه چیز رو تا حد ممکن خودکار کرد و حتی تو برنامه های پیچیده یا شرایط خیلی خاص از امکانات محیط تو راه حلا استفاده کرد ! برای آنالیز کردن یه patch جدید مایکروسافت و نوشتن یه exploit برای سیستمهائی که هنوز ناقص هستن دیباگرهای معمولی مفید نبودن
IDA که برای RCE در عمل یه پلت فرم هستش دیباگر داره و با وجود IDC Script و یا چیزائی مثل IDAPython خیلی میشه ازش استفاده کرد اما بازم چون تمرکز datarescue روی جنبه های انالیزی این برنامه بوده دیباگرش چنگی به دل نمیزنه . همه منتظر بودن بالاخره یکی یه کاری بکنه
immunity کمپانی هستش که در زمینه vuln research زیاد کار کرده . canvasاش رو برو ببین . اینها سورس کد ollydbg رو کاملا خریدن و تغییرات زیادی توش دادن . مهمترین تغییر این هست که میتونی از کلیه امکانات دیباگر همه جا استفاده کنه چون با API اکسپورت شده و چون پایتون شل داره میتونی داینامیک باهاش بازی کنی و به امکاناتش اضافه کنی بدون اینکه هی کد خفن سی یا اسمبلی بنویسی و کامپایل کنی و ببینی مشکلی داره یا نه ( پلاگین )
و تغییراتی که در UI دادن باعث شده بیشتر vuln centric بشه و به درد بررسی مشکلات امنیتی بخوره ! بنابراین محیط این دیباگر به درد افرادی که با همون ollydbg خوش میگذروندن نمیخوره
مثلا یکی از دوستهای من ( حسام صالحی ) یه اسکریپت نوشته که خیلی راحت میشه باهاش return address رو موقع تحقیق درباره buffer overflow ها بدست آورد...خیلی هم ساده هستش : http://duran.persiangig.com/jc.py
پس با اینکه immunity debugger یه جورائی پسر ollydbg هست اما کاربردشون متفاوته و نیازهای زیادی وجود داشتن که olly و هیچ دیباگر دیگه ای به سادگی ارائه نمیکردن و حالا با این دیباگر جدید برطرف شدن یا میشن ....چون یه تیم روی این دیباگر کار میکنن و کامیونیتی فعالی داره دائما تغییر و رشد میکنه و اینم خیلی مهمه
immunity debugger این مشکلاتو نداره و هدفش با ollydbg فرق داره ! قبل از این هیچ دیباگر خوبی که بشه راحت براش اسکریپت و پلاگین نوشت یا میشد ازش تو برنامه ها استفاده کرد وجود نداشت ! windbg اصلا user friendly نیست و دستورات خیلی زیاد و پیچیده ای داره و بازم اسکریپت و پلاگین نوشتن براش سخته و بهر حال نمیشه از امکاناتش تو برنامه های دیگه استفاده کرد ! مثلا نمیتونی از windbg کمک بگیری و یه لودر بنویسی که یه کد self-decrypting رو قدم به قدم disassemble کنه و هر وقت استک یه شرایط خاصی داشت یه آفستی تغییر کنه ! خود ollydbg هم این امکانو نداره و پلاگین نوشتن براش کار ساده ای نیست !
کسائی که در زمینه vulnerability research و exploit development فعالیت میکنن نیازاشون با cracker ها یا quality tester ها یا developer ها فرق میکنه . باید محیط کار منعطف باشه و بشه با اسکریپت همه چیز رو تا حد ممکن خودکار کرد و حتی تو برنامه های پیچیده یا شرایط خیلی خاص از امکانات محیط تو راه حلا استفاده کرد ! برای آنالیز کردن یه patch جدید مایکروسافت و نوشتن یه exploit برای سیستمهائی که هنوز ناقص هستن دیباگرهای معمولی مفید نبودن
IDA که برای RCE در عمل یه پلت فرم هستش دیباگر داره و با وجود IDC Script و یا چیزائی مثل IDAPython خیلی میشه ازش استفاده کرد اما بازم چون تمرکز datarescue روی جنبه های انالیزی این برنامه بوده دیباگرش چنگی به دل نمیزنه . همه منتظر بودن بالاخره یکی یه کاری بکنه
immunity کمپانی هستش که در زمینه vuln research زیاد کار کرده . canvasاش رو برو ببین . اینها سورس کد ollydbg رو کاملا خریدن و تغییرات زیادی توش دادن . مهمترین تغییر این هست که میتونی از کلیه امکانات دیباگر همه جا استفاده کنه چون با API اکسپورت شده و چون پایتون شل داره میتونی داینامیک باهاش بازی کنی و به امکاناتش اضافه کنی بدون اینکه هی کد خفن سی یا اسمبلی بنویسی و کامپایل کنی و ببینی مشکلی داره یا نه ( پلاگین )
و تغییراتی که در UI دادن باعث شده بیشتر vuln centric بشه و به درد بررسی مشکلات امنیتی بخوره ! بنابراین محیط این دیباگر به درد افرادی که با همون ollydbg خوش میگذروندن نمیخوره
مثلا یکی از دوستهای من ( حسام صالحی ) یه اسکریپت نوشته که خیلی راحت میشه باهاش return address رو موقع تحقیق درباره buffer overflow ها بدست آورد...خیلی هم ساده هستش : http://duran.persiangig.com/jc.py
پس با اینکه immunity debugger یه جورائی پسر ollydbg هست اما کاربردشون متفاوته و نیازهای زیادی وجود داشتن که olly و هیچ دیباگر دیگه ای به سادگی ارائه نمیکردن و حالا با این دیباگر جدید برطرف شدن یا میشن ....چون یه تیم روی این دیباگر کار میکنن و کامیونیتی فعالی داره دائما تغییر و رشد میکنه و اینم خیلی مهمه