用Pwndbg恢复二进制文件调试信息
当调试缺乏调试符号的"剥离二进制文件"时,GDB会丧失大量功能:函数和变量名变成无意义的地址,设置断点需要从外部查找函数地址,查看结构化值需要手动解析内存转储。为此,我在Trail of Bits实习期间扩展了Pwndbg——这是由我的导师Dominik Czarnota维护的GDB插件,新增两项功能使剥离二进制文件的调试体验接近IDE调试器。
Binary Ninja集成
通过在Binary Ninja内部安装XML-RPC服务器并从Pwndbg查询,我实现了Pwndbg与这款流行反编译器的集成。这使得Pwndbg可以访问Binary Ninja的分析数据库,用于同步符号、函数签名、栈变量偏移等,恢复大部分调试体验。
对于反编译功能,我直接从Binary Ninja提取语法标记而非序列化为文本,实现完全语法高亮的反编译,可配置使用Binary Ninja的3种中间语言级别。反编译结果直接显示在Pwndbg上下文中,当前行高亮显示,与汇编视图一致。
我还实现了在Binary Ninja中显示程序计数器(PC)寄存器箭头的功能,以及从Binary Ninja内部设置断点的功能,减少在两者间切换的频率。
最复杂的集成组件是栈变量名同步。Pwndbg中任何出现栈地址的地方(如寄存器视图、栈视图或函数参数预览),集成功能都会检查是否为Binary Ninja中的命名栈变量,若是则显示正确标签。该功能还会检查父栈帧,确保调用者的变量也能正确标记。
实现该功能的主要困难在于Binary Ninja仅提供相对于栈帧基址的偏移量,因此需要推导帧基址才能计算绝对地址。虽然x86等架构有帧指针寄存器,但编译器可能将其作为普通寄存器使用。幸运的是,Binary Ninja具有常量值传播功能,可以判断寄存器是否是帧基址的可预测偏移量。
Go调试增强
调试非C语言(有时甚至是C)编译的可执行文件时,复杂的内存布局使得值转储变得困难。例如转储Go切片需要一个命令转储指针和长度,另一个命令检查切片内容;而转储map对小map需要十余个命令,大map则需要数百个。
为此我创建了go-dump命令。参考Go编译器源码,我实现了所有Go内置类型的转储,包括整数、字符串、复数、指针、切片、数组和map。内置类型采用Go原生表示法,无需学习新语法。
该命令还能解析和转储任意嵌套类型,使得任何类型都只需一个命令即可完成转储。
解析Go运行时类型
虽然Go专用转储比手动内存转储更方便,但仍存在可用性问题:需要知道待转储值的完整类型,这在处理多字段或嵌套结构体时尤其困难。此外,结构体字段名和用户定义类型名等编译无关信息也无法获知。
Go编译器会为程序中使用的每个类型生成运行时类型对象(供reflect包使用),包含任意嵌套结构的布局、类型名、大小和对齐等信息。这些类型对象还可与对应值匹配:接口值存储类型指针和数据指针,堆分配值在分配函数(通常是runtime.newobject)中传入类型对象。
我编写了能递归提取这些信息的解析器,通过go-type命令显示给定地址的运行时类型信息。对于结构体,包括每个字段的类型、名称和偏移量。
这可通过两种方式转储值。第一种方式仅适用于接口值,因其直接存储类型指针和数据指针,便于自动检索。使用Go的any类型转储空接口(无方法的接口),用interface类型转储非空接口。转储时命令会自动检索和解析类型,无需输入类型信息。
第二种方式适用于所有值,但需要指定类型指针。虽然查找类型指针可能涉及猜测,但仍比手动推导类型布局简单,能转储最复杂的类型。我在Go编译器(最大最复杂的开源Go代码库之一)的剥离构建上测试了几个大型结构体类型,都能成功转储。
展望未来
这个夏天,我增强了Pwndbg与Binary Ninja的集成以获取丰富调试信息,并添加了go-dump命令转储Go值。所有功能已在Pwndbg开发分支和最新版本(2024.08.29)中提供。
未来还有更多改进空间:Binary Ninja集成采用模块化设计,便于未来支持更多反编译器;Go调试可增强对goroutine的支持,目前这是Delve调试器(专用于Go的调试器)相对于GDB/Pwndbg的主要优势。
致谢
感谢Trail of Bits提供这个绝佳的实习机会,特别感谢我的导师Dominik Czarnota对代码审查和反馈的快速响应,以及Pwndbg社区在开发过程中解答我的各种问题。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
