Herramientas de debugging y el lado oscuro que no conocía

@donkeysharp

Sergio Guillen Mantilla

@donkeysharp

lsof

• La implementación de Libc en GNU/Linux es Glibc
• Leyendo el manual de Glibc pude notar el uso contínuo de la frase "file descriptor"
• Esta junto a otra información del sistema se puede encontrar dentro del directorio /proc/<PID>

Libc en sistemas Unix

strace

• Un sistema  Unix e.g. Linux sigue casi toda la especificación POSIX
• Todo proceso se comunica con el sistema operativo a través de syscalls
• Dependiendo del contexto se puede invocar un syscall desde assembly, C y cualquier otro lenguaje de programación directa o indirectamente

Un poco sobre POSIX

• Strace es una herramienta de debugging que se adiere a un proceso nuevo o en ejecución y nos muestra todas las syscalls que se están realizando

Sobre strace

$ strace ls

$ strace -p <pid>

• Similar a strace pero muestra las funciones que llaman de alguna librería y no del sistema operativo como tal

Sobre ltrace

$ ltrace ls

$ ltrace -p <pid>

gdb

• Debugger portable para sistemas Unix-like
• Funciona para diferentes lenguajes de programacion e.g. C, C++, Go, etc.
• Es posible iniciar un proceso o adherirse a uno en ejecución

GNU Debugger

• Parte importante de los internals de GDB es el uso de ptrace
• ptrace es una llamada al sistema en la que un proceso puede controlar la ejecución de otro proceso
• Es posible controlar cosas como:
  • Registros
  • Memoria

ptrace

long ptrace(enum __ptrace_request request, pid_t pid,
                   void *addr, void *data);

ptrace

• Algunas opciones
  • PTRACE_ATTACH
  • PTRACE_DETACH
  • PTRACE_GETREGS
  • PTRACE_SETREGS
  • PTRACE_POKETEXT

https://0x00sec.org/t/linux-infecting-running-processes/1097

Demo