Синтаксис команд: [.][times][cmd][~grep][@[@iter]addr!size][|>pipe]

times — сколько раз повторить команду

;

Последовательность команд: x 3;s+3;pi 3;s+3;pxo 4;

|

Перенаправление команд оболочки: pd | less

!

Запуск команд оболочки: !cat /etc/passwd

!!

Выходит в командную оболочку, выполняет команду и отправляет вывод в буфер radare

Примечание: Двойной восклицательный знак говорит radare пропустить поиск в списки плагинов Вввода-Вывода привязки для данной команды и запустить её напрямую. Одиночный восклицательный знак смотрит список плагинов перед запуском.

`

Выполнение Radare команд: wx `!ragg2 -i exec`

~

Сокращение для grep

~!

Сокращение для grep -v

~[n]

выберает n-ый столбец вывода afl~[0]

~:n

выбирает n строк afl~:0

pi~mov,eax  		  ; линии с mov или eax
pi~mov&eax  		  ; линии с mov и eax
pi~mov,eax:6  		  ; 6 первых строк с mov или eax
pd 20~call[0]:0           ; из дизассемблированных 20 инструкций, выбрать первую колонку первой строки  содержащщей 'call'

.cmd

Выполнит вывод команды

is* Напечатает символы
.is* Вывполнит вывод команды и задаст символы в radare (обычно они уже заданы если только r2 не запускался с опцией -n)

..

Повторяет последние команды (аналогично вводу \n), странно он себя ведет

(

Используется для задания макросов

$

Используется для задания псевдонимом(alias)

$$

Раскрывается как текущий адрес курсора

@

Смещение является абсолютным, вы можете использовать $$ для относительного смещения @ $$+4

?

Вычислить выражение

[0x00000000]> ? 33 +2
35 0x23 043 0000:0023 35 00100011 35.0 0.000000

Примечание: | и & должны быть экранированы

?$?

Справка по переменной используемой в выражении

$$

Адрес текущего расположения

$s

Размер файла в байтах(шестнадцатеричный вывод)

$b

Размер блока в байтах

$l

Длинна опкода в байтах

$j

Если $$ это jmp, $j это адрес куда произойдет перемещение после jump

$f

Тоже что jmp на адрес невыполнения условной инструкции

$m

Адрес памяти используемый в опкоде (т.е. mov eax,[0x10] => 0x10)

???

Справка для команды ?

?i

Берет все что пришло со стандартного потока ввода. Т.е. аналог считывания значений введенных пользователем ?i username

??

Результат предыдущих операций

?s from to [step]

Генерирует последовательность от(from) до(to) с шагом(step): ?s 1 10 2 => 1 3 5 7 9

?p

Получить физический адрес для данного виртуального адреса

?P

Получить виртуальный адрес для данного физического адреса

?v

Показать шестнадцетеричное значение математического выражения

Предположу что ?p ?P применимы в режиме отладки когда программа загружена и выполняется на устройстве а значит у неё есть виртуальные и реальные адреса.

?v 0x1625d4ca ^ 0x72ca4247 = 0x64ef968d
?v 0x4141414a - 0x41414140  = 0xa

?l str: Вернет длину строки @@: Используется для последовательностей

wx ff @@10 20 30      Запишет ff на адреса смещенные на 10, 20 и 30
wx ff @@`?s  1 10 2`  Запишет ff на адреса смещенные на 1 3 5 7 9
wx 90 @@ sym.*        Записывает nop на место каждого символа(у меня не сработало)

s адрес: Переместить курсор к адресу или символу

• s-5 (5 байт назад)
• s- (undo)отменить перемещение
• s+ (redo)повторить перемещение

Размер блока это значение по умолчание для того что отображает radare. Все команды работаю с этим ограничением, но вы всегда можете временно изменить размер блока задав числовой аргумент ,например для команды print, (px 20)

b size : Изменит размер блока

Большинство команд таких как (i)nfo и (p)rint принимают аргумент j для преобразования их вывода в json

[0x100000d78]> ij
{"bin":{"type":"mach0","class":"MACH064","endian":"little","machine":"x86 64 all","arch":"x86","os":"osx","lang":"c","pic":true,"canary":false,"nx":false,"crypto":false,"va":true,"bits":64,"stripped":true,"static":false,"linenums":false,"syms":false,"relocs":false},"core":{"type":"Executable file","os":"osx","arch":"x86 64 all","bits":64,"endian":"little","file":"/bin/ls","fd":6,"size":34640,"mode":"r--","block":256,"uri":"/bin/ls","format":"mach064"}}

aa

Проанализировать все (fcns + bbs) тож что запустить r2 с -A

ahl <length> <range>

подменить длину(length) опкода для диапазона байтов

ad

Проанализировать данные ad@rsp (проанализировать стек)

iI

Информация о файле(сходна с выводом rabin)

iz

Строки в секции данных

izz

Строки во всем бинарнике

iS

Список секций iS~w возвращает список редактируемых секций

is

Идентификаторы(Symbols) is~FUNC показывает функции, хотя у меня на примере функций через afl было на одну больше чем чере is возможно дело в inline функции

il

Слинкованные(связанные) библиотеки

ii

Импорты(импортированные функции)

ie

Точка входа

Mitigations:

• i~pic : проверяем на наличие position-independent-code
• i~nx : проверяем на наличие non-executable stack
• i~canary : проверяем на наличие канареек

Настоящая проверка производится на этапе анализа это лишь проверка вывода i

Получаем адрес функции в GOT:

pd 1 @ sym.imp<funct>

Вернет jmp [addr] где addr это адрес функции в the GOT. Тоже самое что выполнить

objdump -R | grep <func>

psz n @ offset

Вывести n нуль-терминированных строк

px n @ offset

Вывести hexdump (или просто x) n байт

pxw n @ offset

Вывести hexdump n машинных слов (n — это байты) pxw size@offset печатает шестнадцетеричные слова по адресу

pd n @ offset

Вывести n дизассемблированных опкодов

pD n @ offset

Вывести n дизассемблированных байт

pi n @ offset

Вывести n дизассемблированных инструкций (без адресов, ссылок, комментов, только инструкции)

pdf @ offset

Вывести дизассемблированную функцию pdf~XREF (grep :: XREFs) pdf~call (grep :: calls)

pcp n @ offset

Напечатать n байт в виде строки на python

pcp 0x20@0x8048550
import struct
buf = struct.pack ("32B",
0x55,0x89,0xe5,0x83,0xzz,0xzz,0xzz,0xzz,0xf0,0x00,0x00,
0x00,0x00,0xc7,0x45,0xf4,0x00,0x00,0x00,0x00,0xeb,0x20,
0xc7,0x44,0x24,0x04,0x01,0x00,0x00,0x00,0xzz,0xzz)

p8 n @ offset

Вывести n байт (8бит) (только байты ни строк, ни адресов)

pv

Вывести столько байт, сколько записано в asm.bits (автоматически определяется)

pt

Интерпретировать байты как даты

pf

Вывести байты согласно заданному формату(структуры всякие с полями)

pf.

Вывести список заданных форматов

p=

Вывести граф энтропии (непонятно описание гласит как показать байты текущего блока в виде столбцов, это довольно странная инструкция в webgui есть анализ всего файла на процент данных и кода а это непонятно как применять)

wx

Записать шестнадцетеричное значение с указанного смещения wx 123456 wx ff @ 4

wa

Записать ассемблер wa jnz 0x400d24

wc

Работает с изменениями, занося их в кеш, который может быть записан. Для работы необходимо установить параметр io.cache=true

wv

Записывает значение выбранного размера(1,2,4,8 байт)

wo[x]

Записать результат выполнения математической операции wow 11223344 @102!10 записать закольцованное значение от адреса 102 до 102+10 результат ниже 0x00000066 1122 3344 1122 3344 1122 0000 0000 0000 wox 0x90 Произвести XOR текущего блока и 0x90. Эквивалентно записи wox 0x90 $$!$b (записывать с текущей позиции и на весь блок) wox 67 @4!10 Произвести XOR байтов с 4 по 10 с числом 67

wf file

Записывает содержание файла с текущего адреса или смещения (только ASCII символы)

wF file

Записывает содержание файла с текущего адреса или смещения

wt file [sz]

Записать в файл (с текущего положения, блок или указанное количество байт) Т.е.: Сдампить в ELF файлы куски поиска wt @@ hit0* (т.е. результаты поиска ELF заголовков: \x7fELF)

woO 41424344

get the index in the De Bruijn Pattern of the given word -слишком криптоанализ

Флаги это метки для смещений. Они могут быть сгруппированы в пространства имен, такие как sym для символов, obj для объектов итд …

f

Список флагов

f label @ offset

Задать метку `label` по указанному смещению f str.pass_len @ 0x804999c

f -label

Удалить метку

fr

Переименовать метку

fd

Показывает какой флаг установлен по текущей позиции или указанному адресу/смещению

fs

Показывает все пространства имен для флагов

fs flagspace

Выбрать или создать пространство имен для флагов(меток), перемещение меток производится командой fsm

y n

Копирует n байт с указанной позиции в спец буфер

y

Просмотр того что скопировано в буфер с указанием адресов и размера блоков которые были скопированы.

yp

Напечатать содержание буфера обмена

yy offset

Вставить содержание буфера обмена по указанному смещению

yt n target @ source

Скопировать n байт из source в target адрес

V войти в визуальный режим

q

Выйти из визуального режима

hjkl

перемещение(или HJKL) (left-down-up-right)

o

перейти на выбранное смещение (либо абсолютный перенос относительный +10)

?

Справка

.

Seek EIP seek to program counter (для режима отладки? )

<enter>

Перейти по адресу указанного в текущей инструкции jump/call

:cmd:

Ввести radare команды. Т.е.: x @ esi

d[f?]

Задайте то что находиться под курсором как строку, данные, код, функцию или просто удалите существующее определние dr: Переименовать функцию df: Проанализировать функцию

v

Перейти в меню визуального анализа кода для того чтобы поближе рассмотреть/отредактировать текущую функцию.

p/P

Смена режимов визуализации

• hex, шестнадцетеричное представление
• disasm, дизассемблированный код Используйте числа в [] для перемещения к позиции где заканчивается jump Используйте «u» чтобы вернуться обратно
• debug, режим дебагера
• words, буфер представления в виде шестнадцетеричных слов
• annotated, шестнадцетеричное представление с комментариями

c

Переводит в режим курсора или выходит из него

• Shift+[hjkl] : Выделение
• i: Перевести в режим правки
• a: Ввести ассемблер одной строкой(команды разделяются запятыми)
• A: Ввести ассемблер в визуальном режиме(удобнее рассчитывать слова, и показывает изменения в коде)
• y: Копировать
• Y: Вставить
• f: Создает флаг в месте где расположен курсор
• <tab> в шестнадцетеричном виде перемещение между гексагональным окном и окном с колонками строк

V

Показывает блочный граф текущей функции в консоли

x, X

XREFs текущей функции. («u» вернуться обратно), то ли оно плохо работает то ли у меня примеры так себе.

t

Справка по символам, здесь показано как pf понимает типы данных (нужно для задания структур)

gG

Начало или конец файла

;[-]cmt

Добавить/удалить коммент

m<char>

Задать закладку(работает глючно)

‘<char>

Переместится к указанной закладке

ROP — подробнее, о нем и о гаджетах в словаре.

/R

показывает куски кода которые можно использовать для ROP атак

/R opcodes

Ищет опкоды среди доступных кусков кода. /R pop

/Rl opcodes

Ищет опкоды и возвращает их в виде линии разделенным ; команд ассемблера /Rl jmp eax,call ebx

pda

Возвращает библиотеку гаджетов которые можно использовать. Эти гаджеты получаются путем разборки бинарного файла побайтово, вместо того чтобы использовать стандартные для архитектуры длины опкодов(Мы можем использовать адрес любого байта а не обязательно кратный, как в выводе /R)

Глубина поиска может быть настроена следующим свойством:

e search.roplen = 4  (измените глубину поиска, чтобы его ускорить)

/ bytes

Искать байты /x 7fELF

/a

Искать указанную инструкцию ассемблера /a jmp eax

Пример: Поиск начала функции:

push ebp
mov ebp, esp

Опкоды этих инструкций: 5589e5

/x 5589e5
	[# ]hits: 54c0f4 < 0x0804c600  hits = 1
	0x08049f70 hit0_0 5589e557565383e4f081ec
	0x0804c31a hit0_1 5589e583ec18c704246031
	0x0804c353 hit0_2 5589e583ec1889442404c7
	0x0804c379 hit0_3 5589e583ec08e87cffffff
	0x0804c3a2 hit0_4 5589e583ec18c70424302d

pi 5 @@hit* (Показать 5 первых инструкций от каждого результата поиска)

Также возможно запускать команду для каждого результата поиска. Используйте свойство cmd.hit :

e cmd.hit=px

Эти команды советую использовать вместе с командами работы с проектами P? Об этом ниже.

Cd [size]

Задать указанные байты как данные

C- [size]

Убрать то что задано как данные и пометить как код

Cs [size]

Задать как строку

Cf [size]

Задать как структуру, подробнее смотреть команду pf Вы можете задать структуру которая будет отображаться в выводе дизассемблера.

CC

Список всех определений или комментариев, или добавить комментарий в консольном режиме

• C* Показать все комментарии/метаданные
• «CC <comment>» добавить новый коммент, обратите внимание на кавычки, надо ими выделять не только текст, но и команду — особенность парсера радара
• СС- удалить комментарий

Определение типов файлов, libmagic определяет тип файлов находя определенные последовательности, «магических чисел» специфичных для данных файлов.

pm: Вывести данные на основе анализа Magic файлов. [0x00000000]> pm 0x00000000 1 ELF 32-bit LSB executable, Intel 80386, version 1

Тоже поиск всяких волшебных числе и прочего помогающего анализа magic numbers

/m [magicfile]

Поиск заголовков магических чисел с libmagic сверяя загруженный файл и указанный в команде.

Поиск можно контролировать следующими свойствами:

search.align
search.from (0 = beginning)
search.to (0 = end)
search.asmstr
search.in

Что такое Yara описано здесь ,на случай если потеряется «инструмент для помощи исследователям малвари в идентификации и классификации вредоносных семплов. Исследователь может создать описания для разного типа зловредов, используя текстовые или бинарные паттерны, в которых описываются формализованные признаки малвари. Таким образом получаются сигнатуры. »

Yara также может быть использована для определения типов файлов, типов компиляторов, выявления шелкодов, защит итд.

:yara scan

Zignatures используются для работы с обрезанными/вычищенными бинарниками. Вы можете взять не вычищенный бинарник, запустить zignatures на нем и добавить вывод к другому бинарнику который статически скомпилирован с теми же библиотеками.

zg <language> <output file>

Сгенерировать сигнатуры т.е :: zg go go.z

Запустить сгенерированный скрипт для загрузки сигнатур т.е :: . go.z

z

Просмотр загруженных сигнатур

Сигнатуры добавляются в виде коментов:

r2-(pid2)> pd 35 @ 0x08049adb-10
|          0x08049adb   call fcn.0805b030
|             fcn.0805b030(unk, unk, unk, unk) ; sign.sign.b.sym.fmt.Println
|          0x08049ae0   add esp, 0xc
|          0x08049ae3   call fcn.08095580

Команда c служит для сравнения байтов, дизассемблерных команд и прочего. Так например можно сравнить файлы(но не нужно).

r2 -m 0xf00000 /etc/fstab	; Открыть исходный файл с смещением адресов 0xf00000
o /etc/issue  			; Открыть file2 со смещением 0
o  							; Список файлов.
- 0 6 crackme0x02 @ 0xf00000 ; r size=7499 
- 1 8 ./02 @ 0x0 ; r size=7499
cc offset: Сравнение шестнадцетеричного представление между блоком взятым с текущим положением и указанным смещением "offset"

Странный пример загруженный файл также располагается в памяти в результате если не просмотреть адреса и вручную все правильно не расставить ,так как адрес в памяти отличается от того что загружен. + команды перехода jmp call тоже сбиваются, так как размещены в памяти.

Простые блок диаграммы. Нужен graphviz и xdot на linux.

af

Проанализировать функцию

ag $$ > a.dot

Занести граф сформированный на dot(Graphviz) в файл

ag $$ | xdot

Показать данный граф в утилите xdot(не работает), можете !xdot a.dot сделать

Граф вызовов

af

Проанализировать функцию

agc $$ > b.dot

Показывает граф кого вызывает эта функция

agC $$ > b.dot

Показывает показывает все вызовы программ между собой

Преобразование .dot в .png

dot -Tpng -o /tmp/b.png b.dot

Создание графа функции main файла:

radiff2 -g main crackme.bin crackme.bin > /tmp/a
xdot /tmp/a

Запустить r2 в режиме отладчика. r2 запустит программу и подсоединиться к ней

r2 -d [pid|cmd|ptrace] (если команда запуска содержит пробелы, используйте кавычки: r2 -d «ls /»)

ptrace://pid (не уведомлять бэкэнд отладчика, а только получить доступ к памяти к загруженной памяти)

Передать программе аргументы:

r2 -d rarun2 program=pwn1 arg1=$(python exploit.py)

Передать программе поток ввода от:

r2 -d rarun2 program=/bin/ls stdin=$(python exploit.py)

Команды:

do

Переоткрыть программу для отладки

dp

Показать отлаживаемые процессы, процессы потомки и треды

dc

Завершить отладку(или продолжать до точки останова)

dcu <address or symbol>

Continue until symbol (sets bp in address, continua until bp and remove bp)

dc[sfcp]

Продолжать пока не произойдет системный вызов(т.е : чтение), форк, вызов call, адрес в программе (чтобы выйти из библиотеки)

ds

Перейти на шаг(инструкцию)

dso

Перейти поверх n инструкций(не заходя в функции call)

dss

Пропустить инструкций

dr register=value

Изменить значение в регистре

dr(=)?

Показать значение в регистрах

db address

Установить точку останова по указанному адресу

db sym.main добавить точку останова в sym.main
db 0x804800 добавить точку останова 
db -0x804800 удалить точку останова

dsi (условный шаг)

Т.е. «dsi eax==3,ecx>0»

dbt

Показать backtrace(см словаре)

drr

Отобразить в цветах и словах все ссылки из регистров или памяти

dm

Показывает карту памяти (* обозначает текущий раздел)

[0xb776c110]> dm
sys 0x08048000 - 0x08062000 s r-x /usr/bin/ls
sys 0x08062000 - 0x08064000 s rw- /usr/bin/ls
sys 0xb776a000 - 0xb776b000 s r-x [vdso]
sys 0xb776b000 * 0xb778b000 s r-x /usr/lib/ld-2.17.so
sys 0xb778b000 - 0xb778d000 s rw- /usr/lib/ld-2.17.so
sys 0xbfe5d000 - 0xbfe7e000 s rw- [stack]

Следить за процессами потомками в forks (set-follow-fork-mode в gdb)

dcf

продолжать пока не случиться форк

затем используйте dp для выбора процесса что вы собираетесь отладить

Отладка в стиле PEDA: drr;pd 10@-10;pxr 40@esp

Есть поддержка Webgui

• -c=h: Запустить сервер
• -c=H: Запустить сервер и открыть процесс в браузере

Вот кстати что происходит при запуске полного анализа

> aaaa
[x] Analyze all flags starting with sym. and entry0 (aa)
[x] Analyze len bytes of instructions for references (aar)
[x] Analyze function calls (aac)
[x] Emulate code to find computed references (aae)
[x] Analyze consecutive function (aat)
[aav: using from to 0x8048000 0x8049d9c
Using vmin 0x8048000 and vmax 0x804a020
aav: using from to 0x8048000 0x8049d9c
Using vmin 0x8048000 and vmax 0x804a020
[x] Analyze value pointers (aav)
[Deinitialized mem.0x100000_0xf0000 functions (afta)unc.* functions (aan)
[x] Type matching analysis for all functions (afta)
[x] Type matching analysis for all functions (afta)

В общем помните, каждый из этих анализов это отдельный ,»плагин» так что не факт что он написан под вашу архитектуру и формат бинарного файла.

Он есть в нем много всего но это много может просто не поставится и не заработать Прежде чем работать после установки radare из git вы должны активировать пакетный менеджер

r2pm init
r2pm -i www-p # поставить программу
r2pm -u www-p # удалить программу
r2pm -s # список всех программ
r2pm -l # список установленных программ

Описание того что изображено на экране обычно указано в команде наверху там например режим ниже выводится командой pxA После чего надо посмотреть справку по данному режиму pxA?

[0x080483d0]> pxA?
Usage: pxA [len]   # f.ex: pxA 4K
 mv    move,lea,li
 ->    push
 <-    pop
 io    in/out ops
 $$    int/swi/trap/new
 ..    nop
 +-*/  math ops
 |&^   bin ops
 <<>>  shift ops
 _J    jump
 cJ    conditional jump
 _C    call
 _R    ret
 ==    cmp/test
 XX    invalid

Вот так выглядит режим псевдографов, между блоками можно перемещаться клавише TAB

Скорее всего модуль привязки у вас есть ,если нет можно поставить привязку к выбранному языку через r2pm

Пример программы

import r2pipe
r2 = r2pipe.open('ihex://full.hex', ['-a', 'avr'])
r2.cmd('aa')
print r2.cmd('pdf')

Ну и мы видим что ничего особо заучивать не надо, вам доступна консоль r2 через команды cmd и cmdj, вторая выводится в json

Теоретически такая вещь как декомпиляция, в radare может появится пока проделан путь от преобразование вашего кода в некий универсальный ассемблер ESIL , также поддерживается отладка на этом языке.

Теоретически к radare пишется декомпилятор radeco который должен будет переводить ESIL ассемблер в код на выбранном языке.

По теме: https://xakep.ru/2016/01/27/esil-radeco-il/

Листинг 4.6 книга Искусство дизассемблирования Крис Касперски 2008

На x86_64 заработало после: apt-get install libc6-dev-i386

Компиляция: gcc -m32 demo-asm-libc.S -o demo-asm-libc

и ещё пришлось изменить data секцию

.text

.global main                    // Объявляем глобальную метку main


main:
        pushl   $len            // Длинна строки
        pushl   $msg            // Указатель на строку
        pushl   $1              // stdout
        call    write           // Функция записи
        addl    $12,%esp        // Выталкиваем аргумент из стека

        ret                     // Возвращаем стартовый код

.data
msg:    
        .ascii  "Hello world!\n" // Строка для вывода
        len = . - msg            // Вычисление длины строки