使用IDA 进行远程调试
從4.8 版開(kāi)始,IDA PRO 支持通過(guò)TCP/IP 網(wǎng)絡(luò)對(duì)x86/AMD64 Windows PE 應(yīng)用程序和Linux?
ELF 應(yīng)用程序進(jìn)行遠(yuǎn)程調(diào)試。所謂“遠(yuǎn)程調(diào)試”是指通過(guò)網(wǎng)絡(luò)調(diào)試在另一個(gè)網(wǎng)絡(luò)上的計(jì)算
機(jī)運(yùn)行的代碼的過(guò)程:?
l 運(yùn)行IDA PRO界面的計(jì)算機(jī)被稱(chēng)為“調(diào)試器客戶(hù)端”。?
l 運(yùn)行被調(diào)試的應(yīng)用程序的計(jì)算機(jī)被成為“調(diào)試器服務(wù)器? ”。?
遠(yuǎn)程調(diào)試主要用于下面一些特殊應(yīng)用:?
l 用于調(diào)試病毒/木馬/惡意軟件:通過(guò)這種方法,調(diào)試器客戶(hù)端可以與可能受到這些
軟件攻擊的計(jì)算機(jī)隔離。?
l 調(diào)試那些在一臺(tái)計(jì)算機(jī)上運(yùn)行遇到問(wèn)題,而且沒(méi)有被拷貝安裝在其他計(jì)算機(jī)上的應(yīng)
用程序。?
l 調(diào)式分布式應(yīng)用程序?
l 始終在你的主工作站上運(yùn)行,因此你無(wú)需將IDA配置、文件和不同的調(diào)試相關(guān)資源
拷貝到其它機(jī)器上。?
l 以后,將可以在更多的操作系統(tǒng)和結(jié)構(gòu)下調(diào)試應(yīng)用程序。?
這個(gè)小教程將會(huì)講述如何在實(shí)際應(yīng)用中配置和使用遠(yuǎn)程調(diào)試。
遠(yuǎn)程IDA 調(diào)試器服務(wù)端?
為了讓IDA客戶(hù)端和調(diào)試器服務(wù)端可以通過(guò)網(wǎng)絡(luò)進(jìn)行通信,我們必須首先啟動(dòng)一個(gè)小的服務(wù)
端,它會(huì)處理所有低級(jí)操作和調(diào)試器操作。IDA的軟件包中包括一個(gè)Windows調(diào)試器服務(wù)端
(win32_remote.exe文件)和一個(gè)Linux調(diào)試器服務(wù)端(linux_server.exe文件),通過(guò)這
兩個(gè)文件,我們可以:?
l 在IDA窗口中本地調(diào)試x86/AMD64的Windows應(yīng)用程序和DLL文件。?
l 在IDA窗口中遠(yuǎn)程調(diào)試x86/AMD64的Windows應(yīng)用程序和DLL文件。?
l 在IDA窗口中本地調(diào)試x86的Linux應(yīng)用程序和共享庫(kù)文件。?
l 在IDA窗口中遠(yuǎn)程調(diào)試x86的Linux應(yīng)用程序和共享庫(kù)文件。?
?
我們先拷貝這個(gè)小的windows調(diào)試器服務(wù)端文件到我們的調(diào)試器服務(wù)器上。?
服務(wù)端可以接收下面幾種命令行參數(shù):?
C:\> win32_remote -??
IDA Windows32 remote debugger server. Version 1.0. Copyright Datarescue 2004?
Error: usage: ida_remote [switches]?
-p... port number?
-P... password?
-v???? verbose?
?
我們可以設(shè)定一個(gè)密碼,以阻止那些未授權(quán)的鏈接:?
C:\>win32_remote -Pmypassword
IDA Windows32 remote debugger server. Version 1.0. Copyright Datarescue 2004?
Listening to port #23946...?
注意遠(yuǎn)程調(diào)試器服務(wù)器同時(shí)只能處理一個(gè)調(diào)試會(huì)話。如果你需要在一個(gè)相同的主機(jī)上同時(shí)調(diào)
試幾個(gè)應(yīng)用程序,則需要使用–p開(kāi)關(guān)在不同的端口啟動(dòng)多個(gè)服務(wù)端。
設(shè)置調(diào)試器客戶(hù)端?
首先,把我們想要在調(diào)試器服務(wù)端(Windows或Linux)調(diào)試的可執(zhí)行文件拷貝到調(diào)試器客
戶(hù)端(Windows或Linux)。我們可以像通常那樣把這個(gè)文件裝入IDA。通過(guò)點(diǎn)擊在Debugger
菜單中的“Process options…”菜單條,來(lái)設(shè)置遠(yuǎn)程調(diào)試
在上面的窗口中我們?cè)O(shè)定Application,Directory,和Input file路徑。注意這些文件路徑應(yīng)該
在遠(yuǎn)程調(diào)試器服務(wù)端上有效,同時(shí)不要忘記輸入調(diào)試器服務(wù)端的主機(jī)名字和IP地址:遠(yuǎn)程調(diào)
試只有當(dāng)這些設(shè)置完成后才有效!最后,輸入我們?cè)贗DA的調(diào)試器服務(wù)端設(shè)定的密碼。
?
啟動(dòng)遠(yuǎn)程調(diào)試?
現(xiàn)在,調(diào)試器服務(wù)端和調(diào)試器客戶(hù)端均已設(shè)置完成,可以開(kāi)始遠(yuǎn)程調(diào)試了。事實(shí)上,你現(xiàn)在
可以使用本地調(diào)試可以用到的所有調(diào)試命令。例如,我們可以跳到程序入口點(diǎn),然后使用
F4快捷鍵,運(yùn)行進(jìn)程到程序的入口點(diǎn)。
如果我們現(xiàn)在直接終止進(jìn)程(通過(guò)CTRL-F2)并查看win32_remote’s的輸出(在調(diào)試器服務(wù)
端),我們看到它確實(shí)接受了這個(gè)命令并關(guān)閉了我們的網(wǎng)絡(luò)鏈接:?
C:\> win32_remote -Pmypassword?
IDA Windows32 remote debugger server. Version 1.0. Copyright Datarescue 2004?
Listening to port #23946...?
Accepting incoming connection...?
Closing incoming connection...
?
附加到一個(gè)正在運(yùn)行的進(jìn)程??
另一有趣的功能的是,可以附加調(diào)試器到一個(gè)在遠(yuǎn)程計(jì)算機(jī)上已經(jīng)存在并運(yùn)行著的進(jìn)程上。
如果你在Debugger菜單中點(diǎn)擊“Attach to process…”命令,IDA將會(huì)顯示所有與你的反匯
編數(shù)據(jù)庫(kù)中的文件對(duì)應(yīng)的遠(yuǎn)程運(yùn)行進(jìn)程的列表:
在列表中雙擊一個(gè)進(jìn)程,將會(huì)自動(dòng)掛起并附加調(diào)試器到這個(gè)進(jìn)程上,這可以讓你無(wú)需手動(dòng)啟
動(dòng)這個(gè)進(jìn)程就可以調(diào)試它。附加進(jìn)程的功能可以工作在Windows到Linux,Windows到
Windows,? Linux到Linux和從Linux到Windows多種情況下。
?
從調(diào)試進(jìn)程中解除附加?
最后,如果如果調(diào)試器服務(wù)端運(yùn)行在Windows XP,Windows Server 2003或Linux,你也可
以從你當(dāng)前調(diào)試的進(jìn)程中解除附加,只需要使用Debugger菜單中的“Detach from process”
命令即可。?
IDA支持調(diào)試Windows下的DLLs和Linux下的共享庫(kù)文件。在Windows下,? IDA也可以附加
到Windows服務(wù)上,無(wú)論該服務(wù)是運(yùn)行在本地或遠(yuǎn)端。尤其是當(dāng)你附加到Windows服務(wù)上
后,“Detach from process”命令非常有用:這可以使你無(wú)需終止調(diào)試器服務(wù)端的關(guān)鍵
Windows服務(wù)就可以停止調(diào)試器!
?
總結(jié)
以上是生活随笔為你收集整理的使用IDA 进行远程调试的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: OD消息断点的设置方法
- 下一篇: OD脚本帮助