- 2008-10-03 (金) 17:28
デバッガの種類
デバッガの種類は二種類に分けられる。
- カーネルモードデバッガ
- ユーザーモードデバッガ
○カーネルモードデバッガ
カーネルモード(Ring0)で動くデバッガ。
カーネルモードで動くので、ドライバやOS自体もデバッグすることができる。
ただし、基本的に扱いが難しい。
主なカーネルモードデバッガ: Soft ICE
○ユーザーモードデバッガ
ユーザーモード(Ring3)で動くデバッガ。つまり普通のアプリケーションと同じ。
ユーザーモードで動くので、カーネルモードで動くものはデバッグできない。
その代わり、カーネルモードデバッガよりも操作性がよい。
主なユーザーモードデバッガ: OllyDbg
逆アセンブルの方法
逆アセンブルの方法も同じく二種類
- Linear Sweep(線形分析)
- Recursive Traversal(再帰的分析)
○Linear Sweep(線形分析)
初めから順に逆アセンブルしていく方法。
実装がRecursive Traversalよりも簡単で分析時間も少なくて済むが、
_emitなどでゴミを挿入すると正常に逆アセンブルできない場合がある。
主なLinear Sweepを用いているデバッガ: SoftICE、Win32dasm
○Recursive Traversal(再帰的分析)
処理に沿って逆アセンブルしていく方法。
実装も難しく、分析に時間が掛かるが、詳細な情報が得られる。
ファイルを開くたびに分析していては時間が掛かるので、
分析結果をファイルに保存するソフトが殆どである。
ちなみにOllyDbgの場合、uddファイルがこれにあたる。
主なRecursive Traversalを用いているデバッガ; OllyDbg、IDA Pro(Disassembler)
参考文献
Reversing Secrets of Reverse Engineering
Comments:0
Trackbacks:0
- Trackback URL for this entry
- http://security.symphonic-net.com/krack/debugger%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6/trackback
- Listed below are links to weblogs that reference
- Debuggerについて from Security Ark