逆向工具Radare2中的基本偵錯程式會話

要除錯程式，請使用

-d

選項啟動

radare

。請注意，您可以透過指定正在執行的程序

PID

來附加到該程序，也可以透過指定其名稱和引數來啟動新程式：

$ pidof mc

32220

$ r2 -d 32220

$ r2 -d /bin/ls

$ r2 -a arm -b 16 -d gdb：//192。168。1。43：9090

。。。

在第二種情況下，偵錯程式將在記憶體中分叉並載入偵錯程式

ls

程式。

它將在動態連結器

ld。so

早期暫停其執行。因此，此時您還看不到入口點或任何共享庫。

可以透過為入口斷點設定其他名稱來重寫此行為。為此，請在啟動指令碼中新增一個

radare

命令

e dbg。bep=entry

或

e dbg。bep=main

，通常是

~/。config/radare2/radare2rc

。

繼續直到特定地址的另一種方法是使用

dcu

命令。這意味著：

“

除錯繼續直到

”

採取地址的地方停止。例如：

dcu main

請注意，某些惡意軟體或其他棘手的程式實際上可以在

main

（）之前執行程式碼，因此您將無法控制它們。（如程式建構函式或

tls

初始值設定項）

以下是偵錯程式最常用的命令列表：

> d？

； get help on debugger commands

> ds 3

； step 3 times

> db 0x8048920 ； setup a breakpoint

> db -0x8048920 ； remove a breakpoint

> dc

； continue process execution

> dcs

； continue until syscall

> dd

； manipulate file descriptors

> dm

； show process maps

> dmp A S rwx ； change permissions of page at A and size S

> dr eax=33 ； set register value。 eax = 33

在

radare

中還有另一個除錯選項，它可能更容易：使用可視模式。

這樣，您既不需要記住許多命令，也不需要在腦海中保持程式狀態。

要進入可視偵錯程式模式，請使用

Vpp

：

［0xb7f0c8c0］> Vpp

使用Vpp進入除錯模式

進入可視模式後的初始檢視是當前目標程式計數器的六角轉儲檢視（例如，

x86

的

EIP

）。按

p

將允許您迴圈瀏覽其餘的可視模式檢視。您可以按

p

和

P

在最常用的列印模式下旋轉。使用

F7

或

s

單步執行，使用

F8

或

S

單步執行當前指令。

使用

c

鍵，您可以切換游標模式以標記位元組範圍選擇（例如，稍後用

nop

覆蓋它們）。可以使用

F2

鍵設定斷點。在可視模式下，您可以透過在常規

radare

命令前面加上：來輸入它們。例如，要在

ESI

中轉儲一個記憶體內容塊：

<

按

“

：

”>

x@esi

要獲取有關可視模式的幫助，請按？

。

要滾動幫助螢幕，請使用箭頭。要退出幫助檢視，請按

q

。

常用的命令是

dr

，用於讀取或寫入目標的通用暫存器的值。對於更緊湊的暫存器值表示，您可以使用

dr=

命令。您還可以操作硬體和擴充套件

/

浮點暫存器。