مقایسه OllyDbg و Immunity Debugger

[Mehdi Asgari]

سلام
من تازه Immunity Debugger رو دانلود و کمی باهاش ور رفتم ؛
در کار با دیباگر ها مبتدی ام ، ولی به نظرم می رسه که تقلیدی از OllyDbg باشه. (از لحاظ ظاهری که خیلی شبیهن. منوها ، پنجره ها ، حتی هلپشون هم عین همه)
) ابنجا و اینجا گفته شده که از انجین Olly استفاده شده )
میخوام بدونم آیا برتری هایی نسبت به OllyDbg داره ؟ (چون که Immunity بعد از Olly به وجود اومده ، پس باید برتری هایی به یک ابزار جاافتاده ای مثل Olly داشته باشه که پلاگین های زیادی براش هست و کاربران زیادی هم داره ، تا بتونه کاربرا رو جذب کنه)
در اینجا هم به مشخصات زیر اشاره کرده که همه در Olly وجود دارن:
• داشتن GUI و command line (که Olly هم داره)
• دستورات پایتون (نمیدونم چه کاربردی دارن)
• Built in Graphing (Olly هم داشت ، ولی با پلاگین)
فقط گفته
Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files.
…..
A debugger with functionality designed specifically for the security industry
Cuts exploit development time by 50%
Robust and powerful scripting language for automating intelligent debugging
آیا واقعا همین ویژگی ها، توجیه کنندۀ ایجاد یک ابزار جدیدن ؟

[illegalyasync]

ollydbg بین cracker ها یا افرادی که دنبال dynamic runtime analyzer هستن خیلی چیز خوبیه اما چون ollydbg رو فقط یه نفر مینویسه و خیلی دیر اپدیت میشه و نوشتن پلاگین براش راحت نیست خوب بود که یه چیزی مثل همون وجود داشته باشه ولی بدون این نقصها
immunity debugger این مشکلاتو نداره و هدفش با ollydbg فرق داره ! قبل از این هیچ دیباگر خوبی که بشه راحت براش اسکریپت و پلاگین نوشت یا میشد ازش تو برنامه ها استفاده کرد وجود نداشت ! windbg اصلا user friendly نیست و دستورات خیلی زیاد و پیچیده ای داره و بازم اسکریپت و پلاگین نوشتن براش سخته و بهر حال نمیشه از امکاناتش تو برنامه های دیگه استفاده کرد ! مثلا نمیتونی از windbg کمک بگیری و یه لودر بنویسی که یه کد self-decrypting رو قدم به قدم disassemble کنه و هر وقت استک یه شرایط خاصی داشت یه آفستی تغییر کنه ! خود ollydbg هم این امکانو نداره و پلاگین نوشتن براش کار ساده ای نیست !
کسائی که در زمینه vulnerability research و exploit development فعالیت میکنن نیازاشون با cracker ها یا quality tester ها یا developer ها فرق میکنه . باید محیط کار منعطف باشه و بشه با اسکریپت همه چیز رو تا حد ممکن خودکار کرد و حتی تو برنامه های پیچیده یا شرایط خیلی خاص از امکانات محیط تو راه حلا استفاده کرد ! برای آنالیز کردن یه patch جدید مایکروسافت و نوشتن یه exploit برای سیستمهائی که هنوز ناقص هستن دیباگرهای معمولی مفید نبودن

IDA که برای RCE در عمل یه پلت فرم هستش دیباگر داره و با وجود IDC Script و یا چیزائی مثل IDAPython خیلی میشه ازش استفاده کرد اما بازم چون تمرکز datarescue روی جنبه های انالیزی این برنامه بوده دیباگرش چنگی به دل نمیزنه . همه منتظر بودن بالاخره یکی یه کاری بکنه

immunity کمپانی هستش که در زمینه vuln research زیاد کار کرده . canvasاش رو برو ببین . اینها سورس کد ollydbg رو کاملا خریدن و تغییرات زیادی توش دادن . مهمترین تغییر این هست که میتونی از کلیه امکانات دیباگر همه جا استفاده کنه چون با API اکسپورت شده و چون پایتون شل داره میتونی داینامیک باهاش بازی کنی و به امکاناتش اضافه کنی بدون اینکه هی کد خفن سی یا اسمبلی بنویسی و کامپایل کنی و ببینی مشکلی داره یا نه ( پلاگین )
و تغییراتی که در UI دادن باعث شده بیشتر vuln centric بشه و به درد بررسی مشکلات امنیتی بخوره ! بنابراین محیط این دیباگر به درد افرادی که با همون ollydbg خوش میگذروندن نمیخوره

مثلا یکی از دوستهای من ( حسام صالحی ) یه اسکریپت نوشته که خیلی راحت میشه باهاش return address رو موقع تحقیق درباره buffer overflow ها بدست آورد...خیلی هم ساده هستش : http://duran.persiangig.com/jc.py

پس با اینکه immunity debugger یه جورائی پسر ollydbg هست اما کاربردشون متفاوته و نیازهای زیادی وجود داشتن که olly و هیچ دیباگر دیگه ای به سادگی ارائه نمیکردن و حالا با این دیباگر جدید برطرف شدن یا میشن ....چون یه تیم روی این دیباگر کار میکنن و کامیونیتی فعالی داره دائما تغییر و رشد میکنه و اینم خیلی مهمه

[Inprise]

درایورها رو میشه به همان راحتی exe ها دیباگ کرد ؛

[r00tkit]

[quote=Mehdi Asgari;389089]
• دستورات پایتون (نمیدونم چه کاربردی دارن)


سلام ان چیزی که نمیدونید می تونید از این کتاب یاد بگیرید