第62章

跟踪时使用幻数

通常情况下，我们的主要目标是理解程序从文件读取或从网络中接收的值的用途。手动跟踪某个值常常是个体力活。最简单应对技术之一(尽管不是百分之百靠谱)是使用自定义的幻数。

这在某种程度上类似于X射线计算机断层扫描：造影剂注射到病人的血液中，增强患者的内部结构在X射线下的能见度。例如，健康人的血液在肾脏渗透是众所周知的，如果血液中有介质则可以很容易在断层中看到血液如何渗透的，是否有结石或肿瘤。

我们可以使用一个32比特的数字，比如0x0badf00d，或者某人的生日0x11101979并将这个4字节数字写到我们目标程序使用的文件的某个位置。

然后使用code coverage模式下的tracer的跟踪这个程序，再用grep工具或仅仅是文本搜索(跟踪结果)，就可以轻松看到值的位置以及如何被使用。

使用cc模式下tracer的结果，可使用grep：

0x150bf66 (_kziaia+0x14), e=        1 [MOV EBX, [EBP+8]] [EBP+8]=0xf59c934
0x150bf69 (_kziaia+0x17), e=        1 [MOV EDX, [69AEB08h]] [69AEB08h]=0
0x150bf6f (_kziaia+0x1d), e=        1 [FS: MOV EAX, [2Ch]]
0x150bf75 (_kziaia+0x23), e=        1 [MOV ECX, [EAX+EDX*4]] [EAX+EDX*4]=0xf1ac360
0x150bf78 (_kziaia+0x26), e=        1 [MOV [EBP-4], ECX] ECX=0xf1ac360

对于网络包中也同样适用。很重要的一点是，幻数必须独特保证没有在该程序中出现过。

除了tracer，heavydebug模式下的DosBox(MS-DOS仿真器)也能将每条指令执行后寄存器状态写入到一个文本文件中，因此，这种技术对于DOS程序也是很有用的。