私は現在、アンチデバッグのトリックがたくさんあるLinuxでプログラムをリバースしようとしています。一部は倒すことができましたが、残りはまだ戦っています。悲しいことに、私は平凡なので、予想以上に時間がかかっています。とにかく、プログラムはVMで問題なく実行されます(VMWareとVBoxで試しました)ので、VMでの実行のトレースを取り、次にデバッガー(gdb)でトレースを取り、それらを比較して確認することを考えていました変更点は、アンチデバッグのトリックをより簡単に見つけることです。
しかし、私はずっと前に vmware でカーネルのデバッグを行いましたが、多かれ少なかれ問題ありませんでした (線形アドレスにアクセスできたことを覚えています...) が、ここでは少し違うと思います。
このユーザーランド プログラムをあまり苦労せずにデバッグする簡単な方法はありますか?
プログラムの実行を監視するためのツールであり、XEN ハイパーバイザーに基づくEtherを使用することをお勧めします。このツールの要点は、プログラムの実行を監視することなく追跡することです。最初に行うことは、彼らの Web サイトにアクセスしてマルウェア タブをクリックし、バイナリを送信して、自動化された Web インターフェイスで実行できるかどうかを確認することです。これが失敗した場合は、自分でインストールできます。これは面倒ですが、実行可能であり、良い結果が得られるはずです。私は過去にインストールできました。Ether の Web サイトに説明がありますが、もしお勧めであれば、Offensive Computingの補足説明も参照してください。
あなたのためにトリックを行うことができる他のいくつかの自動分析サイト: SRI International によるEurekaおよび UC Berkeley の bitblaze による Renovo