英特爾PT（處理器跟蹤）是一項最新的英特爾CPU的技術，Intel Skylake和更高版本的CPU型號都已經具有了此功能。你可以使用觸發和過濾功能在指令級別跟蹤代碼執行。通過本文，我們希望探索該技術在漏洞利用分析中的實際應用。

0x01 在Windows上使用Intel PT

在Windows上記錄Intel PT的信息主要可以使用三種方法。

[WindowsIntelPT](https://github.com/intelpt/WindowsIntelPT) 
[WinIPT](https://github.com/ionescu007/winipt) 
[Intel® Debug Extensions for WinDbg* for Intel® Processor Trace](https://software.intel.com/en-us/intel-system-studio-2019-windbg-pt-user-guide-windows-introducing-the-intel-debug-extensions-for-windbg-for-intel-processor-trace) 

要分析記錄的數據包，可以使用Intel的libipt，Libipt是可以解碼Intel PT數據包的標準庫，它提供了ptdump和ptexd基本工具。

https://github.com/intel/libipt 

Instruction Source

Intel PT僅記錄控制流更改。要解碼Intel PT跟蹤，我們需要執行指令的image文件。如果在代碼執行的某些區域沒有匹配的image，則可能會丟失一些執行信息。在沒有靜態image文件可用的JIT代碼執行中，可能會發生這種情況，甚至shellcode都很難跟蹤，因為shellcode指令僅存在于內存中。

因為Intel PT不會保存指令字節或內存內容，所以你需要為每個IP（指令指針）提供指令字節。例如，下面顯示了ptxed命令的工作方式。

記錄壓縮

在現實世界中使用Intel PT的一個障礙是處理Intel PT跟蹤文件所需的大量CPU時間，跟蹤文件已被壓縮，在使用之前都需要先對其進行解壓縮，Libipt庫可用于解碼過程，但它更多是單線程操作。

方法

類似于LBR，英特爾PT通過記錄分支來工作。在運行時，當CPU遇到任何分支指令（如“ je”，“ call”，“ ret”）時，它將記錄對該分支采取的操作。使用附加跳轉指令，它將使用1位記錄已占用（T）或未占用（NT）。通過間接調用和跳轉，它將記錄目標地址。對于無條件分支（如跳轉或調用），它不會記錄更改，因為你可以從指令中推斷出目標跳轉地址。將使用FUP，TIP，TIP.PGE或TIP.PGD數據包之一將要記錄的IP（指令指針）與上次IP記錄進行比較。如果地址字節的高位部分重疊，則那些匹配的字節將在當前數據包中被解析。同樣，對于臨近返回指令，如果返回目標是調用指令的下一條指令，

數據包

IPT壓縮中使用的數據包的說明可以從《英特爾®64和IA-32體系結構軟件開發人員手冊》中找到。

https://software.intel.com/en-us/articles/intel-sdm

有許多數據包用于實現記錄機制，但是，很少有重要的數據包類型起主要作用。

PSB數據包

PSB數據包用作跟蹤數據包解碼的同步點。它是跟蹤日志中的邊界，在其中可以獨立執行減壓過程而沒有任何副作用，此偏移在libipt庫代碼中稱為“同步偏移”，因為這是跟蹤文件中的偏移，你可以在其中安全地開始解碼以下數據包。

TIP (Target IP)

TIP數據包指示目標IP，該信息可用作指令指針的基地址。

TNT (Taken Not-Taken)

TNT數據包用于指示是否進行條件轉移。因為可以從過程映像中推斷出那些流量控制，所以不會記錄任何無條件的分支跳轉。

總體而言，解壓縮過程如下圖所示。這更多是過于簡化的視圖，但是它可以向你展示解壓縮的工作原理，IntelPT日志可用于重建完整的指令執行并在指令字節的幫助下控制流的變化，沒有指令字節，它僅給出完整指令執行的部分視圖。

跟蹤日志

這是IPT跟蹤日志的一個片段，該片段使用libipt中的ptdump轉換為文本形式。它以PSB數據包開頭，該位置指示你可以安全地解碼后續數據包的位置，目前有一些與填充和定時相關的數據包可以忽略。

000000000000001c  psb 
000000000000002c  pad 
000000000000002d  pad 
000000000000002e  pad 

在偏移量3db處，有一個tip.pge數據包。這意味著指令指針位于數據包指示的位置00007ffbb7d63470。

... 
00000000000003db  tip.pge    3: 00007ffbb7d63470 
00000000000003e2  pad 
00000000000003e3  pad 

從過程映像中，我們可以確定tip.pge的地址00007ffbb7d63470指向以下說明。

seg000:00007FFBB7D63470                 mov     rcx, [rsp+20h] 
seg000:00007FFBB7D63475                 mov     edx, [rsp+28h] 
seg000:00007FFBB7D63479                 mov     r8d, [rsp+2Ch] 
seg000:00007FFBB7D6347E                 mov     rax, gs:60h 
seg000:00007FFBB7D63487                 mov     r9, [rax+58h] 
seg000:00007FFBB7D6348B                 mov     rax, [r9+r8*8] 
seg000:00007FFBB7D6348F                 call    sub_7FFBB7D63310 

提示數據包指示該代碼從地址00007ffbb7d63470開始執行，并繼續執行直到遇到00007FFBB7D6348F處的調用指令為止。由于調用不是間接調用，因此調用目標是在編譯時預先確定的，因此該tip.pge數據包擴展為內部調用指令，來自調用目標地址00007FFBB7D63310的其他指令將被解碼。

seg000:00007FFBB7D63310                 sub     rsp, 48h 
seg000:00007FFBB7D63314                 mov     [rsp+48h+var_28], rcx 
seg000:00007FFBB7D63319                 mov     [rsp+48h+var_20], rdx 
seg000:00007FFBB7D6331E                 mov     [rsp+48h+var_18], r8 
seg000:00007FFBB7D63323                 mov     [rsp+48h+var_10], r9 
seg000:00007FFBB7D63328                 mov     rcx, rax 
seg000:00007FFBB7D6332B                 mov     rax, cs:7FFBB7E381E0h 
seg000:00007FFBB7D63332                 call    rax 

此時，在地址00007FFBB7D63332處發生了間接調用，下一個提示包將在此調用跳轉的位置提供必要的信息。壓縮會刪除地址的前4個字節以節省空間，從3ee的數據包中，我們可以得出調用目標是00007ffbb7d4fb70。

... 
00000000000003ee  tip        2: ????????b7d4fb70 
00000000000003f3  pad 
... 

解碼從00007ffbb7d4fb70繼續，直到它在00007FFBB7D4FB8C處有條件跳轉指令為止。

seg000:00007FFBB7D4FB70                 mov     rdx, cs:7FFBB7E38380h 
seg000:00007FFBB7D4FB77                 mov     rax, rcx 
seg000:00007FFBB7D4FB7A                 shr     rax, 9 
seg000:00007FFBB7D4FB7E                 mov     rdx, [rdx+rax*8] 
seg000:00007FFBB7D4FB82                 mov     rax, rcx 
seg000:00007FFBB7D4FB85                 shr     rax, 3 
seg000:00007FFBB7D4FB89                 test    cl, 0Fh 
seg000:00007FFBB7D4FB8C                 jnz     short loc_7FFBB7D4FB95 
seg000:00007FFBB7D4FB8E                 bt      rdx, rax 
seg000:00007FFBB7D4FB92                 jnb     short loc_7FFBB7D4FBA0 
seg000:00007FFBB7D4FB94                 retn 

此時，tnt數據包將為你提供是否執行條件跳轉的信息。以下帶有2個“ ..”的tnt.8數據包表示，它沒有進行兩次無條件跳轉。

00000000000003fe  tnt.8      .. 

接下來，它將在00007FFBB7D4FB94處遇到ret指令。

seg000:00007FFBB7D4FB94                 retn 

即使可以通過某種模擬進行計算，也無法從image本身可靠地確定返回地址，“ ret”是間接跳轉，它從當前SP（堆棧指針）中檢索跳轉地址，下一個提示包將為你提供此ret指令返回的地址。

00000000000003ff  tip        2: ????????b7d63334 

返回的地址將按照以下方式反匯編，并且代碼執行將繼續。

seg000:00007FFBB7D63334                 mov     rax, rcx 
seg000:00007FFBB7D63337                 mov     rcx, [rsp+48h+var_28] 
seg000:00007FFBB7D6333C                 mov     rdx, [rsp+48h+var_20] 
seg000:00007FFBB7D63341                 mov     r8, [rsp+48h+var_18] 
seg000:00007FFBB7D63346                 mov     r9, [rsp+48h+var_10] 
seg000:00007FFBB7D6334B                 add     rsp, 48h 

IPTA 分析工具

IPT壓縮機制非常有效，需要拆卸引擎的幫助來重建完整指令。即使是很短的IPT跟蹤記錄，也需要大量CPU資源進行解壓縮。一種方法是，可以應用IP過濾來限制輸出，以最大程度地減少跟蹤輸出量。有時出于研究目的，不可避免的需要處理大量跟蹤日志。

IPTAnalyzer是用于并行處理IPT跟蹤日志的工具。該工具可以使用Python多處理庫處理Intel PT跟蹤，并創建基本的塊緩存文件，該塊信息對于控制流變化的整體分析很有用。例如，如果要從特定的image或地址范圍收集指令，則可以在檢索完整的指令之前查詢此基本塊緩存文件以查找屬于該范圍的位置。

https://github.com/ohjeongwook/iptanalyzer

案例研究：CVE-2017-11882

CVE-2017-11882是Microsoft Office公式編輯器中的漏洞，這是練習將IPT用于漏洞分析的良好練習目標。我們將說明如何使用IPT和IPTAnalyzer高效執行漏洞利用分析。

 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

IPT 日志收集

你可以使用各種方法來生成IPT跟蹤日志。我使用WinIPT生成跟蹤日志。

 https://github.com/ionescu007/winipt
 https://www.virustotal.com/gui/file/abbdd98106284eb83582fa08e3452cf43e22edde9e86ffb8e9386c8e97440624/detection

我們使用了惡意樣本abbdd98106284eb83582fa08e3452cf43e22edde9e86ffb8e9386c8e97440624來復制利用條件，使用進程ID和日志文件名運行ipttool.exe，進程ID 2736是易受攻擊的公式編輯器進程，跟蹤輸出將保存到EQNEDT32.pt文件中。

C:\Analysis\DebuggingPackage\TargetMachine\WinIPT>ipttool.exe --trace 2736 EQNEDT32.pt 
/-----------------------------------------\ 
|=== Windows 10 RS5 1809 IPT Test Tool ===| 
|===  Copyright (c) 2018 Alex Ionescu  ===| 
|===    http://github.com/ionescu007   ===| 
|===  http://www.windows-internals.com ===| 
\-----------------------------------------/ 
 
[+] Found active trace with 1476395324 bytes so far 
    [+] Trace contains 11 thread headers 
        [+] Trace Entry 0 for TID 2520 
               Trace Size: 134217728             [Ring Buffer Offset: 4715184] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 1 for TID 1CA8 
               Trace Size: 134217728             [Ring Buffer Offset: 95936] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 2 for TID 8AC 
               Trace Size: 134217728             [Ring Buffer Offset: 63152] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 3 for TID 1A88 
               Trace Size: 134217728             [Ring Buffer Offset: 4560] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 4 for TID 1964 
               Trace Size: 134217728             [Ring Buffer Offset: 45184] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 5 for TID 22D0 
               Trace Size: 134217728             [Ring Buffer Offset: 6768] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 6 for TID 73C 
               Trace Size: 134217728             [Ring Buffer Offset: 32480] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 7 for TID 1684 
               Trace Size: 134217728             [Ring Buffer Offset: 285264] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 8 for TID 3C4 
               Trace Size: 134217728             [Ring Buffer Offset: 99056] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 9 for TID 610 
               Trace Size: 134217728             [Ring Buffer Offset: 4812464] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
        [+] Trace Entry 10 for TID 1CD8 
               Trace Size: 134217728             [Ring Buffer Offset: 7424] 
              Timing Mode: MTC Packets          [MTC Frequency: 3, ClockTsc Ratio: 83] 
[+] Trace for PID 2736 written to EQNEDT32.pt 

進程內存轉儲

你可以使用ProcDump或Process Explorer甚至Windbg來獲取方程編輯器（EQNEDT32.exe）的內存轉儲，IPTAnalyzer可以使用進程內存轉儲來自動檢索指令字節，而不是將單獨的image文件提供給libipt。

 https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
 https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

運行iptanalyzer

為了方便起見，在以下示例中，將％IPTANALYZERTOOL％設置為IPTAnalyzer文件夾的根目錄。通過使用decode_blocks.py，可以生成塊緩存文件。你需要提供帶有IPT跟蹤文件名的-p選項和帶有進程內存轉儲文件的-d選項。

python %IPTANALYZER%\pyipttool\decode_blocks.py -p PT\EQNEDT32.pt -d ProcessMemory\EQNEDT32.dmp -c block.cache 

下面顯示了并行的Python進程，它們對解碼文件進行解碼。

轉儲EQNEDT32模塊數據

由于EQNEDT32主模塊存在漏洞，并且模塊地址范圍內或附近將發生異常代碼執行模式，因此我們希望枚舉EQNEDT32主模塊范圍內的塊，該塊介于00400000和0048e000之間。

0:011> lmvm EQNEDT32 
Browse full module list 
start             end                 module name 
00000000`00400000 00000000`0048e000   EQNEDT32   (deferred)              
... 

dump_blocks.py工具可用于枚舉特定地址范圍內的任何基本塊。

python %IPTANALYZER%\pyipttool\dump_blocks.py -p PT\EQNEDT32.pt -d ProcessMemory\EQNEDT32.dmp -C 0 -c blocks.cache -s 0x00400000 -e 0x0048e000 

該命令將生成與地址范圍匹配的基本塊的完整日志。從易受攻擊的模塊執行代碼結束時，可能會過渡到shellcode，我們將重點放在日志末尾的基本塊模式。注意，“ sync_offset = 2d236c”顯示了這些最后的基本塊命中的PSB數據包的位置。此sync_offset值可用于檢索該點附近的指令。

... 
 > 00000000004117d3 () (sync_offset=2d236c, offset=2d26f4) 
  EQNEDT32!EqnFrameWinProc+0x2cf3: 
 00000000`004117d3 0fbf45c8        movsx   eax,word ptr [rbp-38h] 
  
 > 000000000041181e () (sync_offset=2d236c, offset=2d26f4) 
  EQNEDT32!EqnFrameWinProc+0x2d3e: 
 00000000`0041181e 0fbf45fc        movsx   eax,word ptr [rbp-4] 
  
 > 0000000000411869 () (sync_offset=2d236c, offset=2d26f4) 
  EQNEDT32!EqnFrameWinProc+0x2d89: 
 00000000`00411869 33c0            xor     eax,eax 
  
 > 000000000042fad6 () (sync_offset=2d236c, offset=2d26fc) 
  EQNEDT32!MFEnumFunc+0x12d9: 
 00000000`0042fad6 c3              ret 

轉儲EQNEDT32模塊指令

現在，我們知道EQNEDT32模塊的最后一個基本塊是在“ sync_offset = 2d236c” PSB塊內執行的。dump_instructions.py腳本可用于轉儲完整指令。-S（開始sync_offset）和-E（結束sync_offset）之類的選項可用于指定sync_offset范圍。

python %IPTANALYZER%\pyipttool\dump_instructions.py -p ..\PT\EQNEDT32.pt -d ..\ProcessMemory\EQNEDT32.dmp -S 0x2d236c -E 0x2d307c 

查找ret代碼

使用dump_instructions.py的輸出，你可以輕松確定從EQNEDT32到Shellcode的代碼的位置。

... 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d8b: 
00000000`0041186b e900000000      jmp     EQNEDT32!EqnFrameWinProc+0x2d90 (00000000`00411870) 
 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d90: 
00000000`00411870 5f              pop     rdi 
 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d91: 
00000000`00411871 5e              pop     rsi 
 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d92: 
00000000`00411872 5b              pop     rbx 
 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d93: 
00000000`00411873 c9              leave 
 
Instruction: EQNEDT32!EqnFrameWinProc+0x2d94: 
00000000`00411874 c3              ret 
 
Instruction: EQNEDT32!MFEnumFunc+0x12d9: 
00000000`0042fad6 c3              ret 
 
Instruction: 00000000`0019ee9c bac342baff      mov     edx,0FFBA42C3h 
 
Instruction: 00000000`0019eea1 f7d2            not     edx 
 
Instruction: 00000000`0019eea3 8b0a            mov     ecx,dword ptr [rdx] 
 
Instruction: 00000000`0019eea5 8b29            mov     ebp,dword ptr [rcx] 
 
Instruction: 00000000`0019eea7 bb3a7057f4      mov     ebx,0F457703Ah 
 
Instruction: 00000000`0019eeac 81eb8a0811f4    sub     ebx,0F411088Ah 
 
Instruction: 00000000`0019eeb2 8b1b            mov     ebx,dword ptr [rbx] 
 
Instruction: 00000000`0019eeb4 55              push    rbp 
 
Instruction: 00000000`0019eeb5 ffd3            call    rbx 
... 

從上面的指令清單中，你可以注意到00411874和0042fad6有兩個“ ret”指令。

Instruction: EQNEDT32!EqnFrameWinProc+0x2d94: 
00000000`00411874 c3              ret 
 
Instruction: EQNEDT32!MFEnumFunc+0x12d9: 
00000000`0042fad6 c3              ret 

在這兩個“ ret”指令之后，代碼將轉移到非映像地址空間中。

Instruction: 00000000`0019ee9c bac342baff      mov     edx,0FFBA42C3h 
Instruction: 00000000`0019eea1 f7d2            not     edx 
Instruction: 00000000`0019eea3 8b0a            mov     ecx,dword ptr [rdx] 
Instruction: 00000000`0019eea5 8b29            mov     ebp,dword ptr [rcx] 

注意，在00000000`0019ee9c處的指令沒有檢索到任何匹配的模塊名稱，這意味著它很有可能被shellcode加載到動態內存中。

執行下一階段的Shellcode

在shellcode之后，我們可以使用“ jmp rax”指令在0019eec1處定位執行下一級shellcode的位置，我們在Intel PT日志中有完整的Shellcode執行列表。

Instruction: 00000000`0019eeb7 0567946d03      add     eax,36D9467h 
 
Instruction: 00000000`0019eebc 2d7e936d03      sub     eax,36D937Eh 
 
Instruction: 00000000`0019eec1 ffe0            jmp     rax 

這些是dump_instructions.py腳本轉儲的下一階段shellcode。

Instruction: 00000000`00618111 9c              pushfq 
 
Instruction: 00000000`00618112 56              push    rsi 
 
Instruction: 00000000`00618113 57              push    rdi 
 
Instruction: 00000000`00618114 eb07            jmp     00000000`0061811d 
 
Instruction: 00000000`0061811d 9c              pushfq 
 
Instruction: 00000000`0061811e 57              push    rdi 
 
Instruction: 00000000`0061811f 57              push    rdi 
 
Instruction: 00000000`00618120 81ef40460000    sub     edi,4640h 
 
Instruction: 00000000`00618126 81ef574b0000    sub     edi,4B57h 
 
Instruction: 00000000`0061812c 8dbfbc610000    lea     edi,[rdi+61BCh] 
 
Instruction: 00000000`00618132 81c73b080000    add     edi,83Bh 
 
Instruction: 00000000`00618138 5f              pop     rdi 
 
Instruction: 00000000`00618139 5f              pop     rdi 

分析總結

英特爾PT是一項非常有用的技術，可用于防御性和攻擊性安全性研究。IPTAnalyzer是一個使用libipt庫來使用IPT跟蹤日志加快分析速度的工具。這里的漏洞利用示例顯示了使用IPTAnalyzer工具生成塊緩存文件并將其用于基本漏洞利用調查的好處。沒有英特爾PT的幫助，此過程可能很繁瑣，可能更多地取決于研究人員的直覺。使用Intel PT，可以自動執行此過程并自動檢測惡意代碼活動。

本文翻譯自：https://darungrim.com/research/2020-05-07-UsingIntelPTForVulnerabilityTriagingWithIPTAnalyzer.html如若轉載，請注明原文地址。