当前位置: 首页 > news >正文

FreakStudio潦

环境安装

pip install keystone-engine capstone unicorn

这3个工具用法极其简单,下面通过示例来演示其用法。

Keystone

示例

from keystone import *

CODE = b"INC ECX; ADD EDX, ECX"

try:

ks = Ks(KS_ARCH_X86, KS_MODE_64)

encoding, count = ks.asm(CODE)

print(f"汇编指令数量: {count}")

print(f"机器码 (十进制): {encoding}")

print(f"机器码 (Hex): {''.join(f'{x:02x}' for x in encoding)}")

except KsError as e:

print(f"ERROR: {e}")

代码解释

代码流程十分简单:

初始化keystone->编译代码->输出结果

初始化keystone

ks = Ks(KS_ARCH_X86, KS_MODE_64)

初始化keystone引擎:

第一个参数:选择指令架构例如:x86,arm......

第二个参数:选择模式,例如:64位,32位,小端序......

编译代码

将汇编转换为16进制的shellcode

encoding, count = ks.asm(CODE)

第一个返回值:机器码指令的数组

第二个返回值:汇编指令数量

Capstone

capstone的用法和keystone差不多。

示例

from capstone import *

CODE = b"\xff\xc1\x01\xca"

md = Cs(CS_ARCH_X86, CS_MODE_64)

print("地址\t\t指令\t\t操作数")

print("-" * 30)

for i in md.disasm(CODE, 0x1000):

print(f"0x{i.address:x}:\t{i.mnemonic}\t{i.op_str}")

代码解释

代码流程跟keystone差不多:

初始化capstone->反编译代码->输出结果

初始化capstone

md = Cs(CS_ARCH_X86, CS_MODE_64)

初始化capstone引擎:

第一个参数:选择指令架构例如:x86,arm......

第二个参数:选择模式,例如:64位,32位,小端序......

反编译代码

for i in md.disasm(CODE, 0x1000):

print(f"0x{i.address:x}:\t{i.mnemonic}\t{i.op_str}")

使用方法disasm反汇编:

第一个参数:机器码

第二个参数:第一条指令的基地址

返回:一个包含指令对象的数组

unicorn

unicorn提供的方法使用也不复杂,但需要一定的内存基础知识。

下面用一个案例解释。

示例

情景模拟: 我逆向过程中发现一个xor加密代码,我需要通过模拟执行,对密文进行解密。

根据汇编代码可以得知:

0x20000存放密文

0x30000存放结果

0x10000中读取密钥key

from unicorn import *

from unicorn.x86_const import *

import struct

from keystone import *

ASM_CODE = """

MOV ECX, 5

MOV ESI, 0x20000

MOV EDI, 0x30000

MOV BL, byte ptr [0x10000]

loop_start:

LODSB

XOR AL, BL

STOSB

LOOP loop_start

"""

def get_code():

ks = Ks(KS_ARCH_X86, KS_MODE_32)

encoding, count = ks.asm(ASM_CODE)

return bytes(encoding)

CODE = get_code()

ADDRESS_CODE = 0x400000

ADDRESS_KEY = 0x10000

ADDRESS_IN = 0x20000

ADDRESS_OUT = 0x30000

REAL_KEY = 0x77

CIPHER_TEXT = b"\x3F\x12\x1B\x1B\x18"

def hook_code(uc, access, address, size, value, user_data):

if address == ADDRESS_KEY:

key_value = uc.mem_read(address, size)

print(f"key: {hex(key_value[0])}")

def start_emulation():

try:

print("初始化环境...")

mu = Uc(UC_ARCH_X86, UC_MODE_32)

mu.mem_map(0x0, 1 * 1024 * 1024)

mu.mem_map(ADDRESS_CODE, 2 * 1024 * 1024)

mu.mem_write(ADDRESS_CODE, CODE)

mu.mem_write(ADDRESS_IN, CIPHER_TEXT)

mu.mem_write(ADDRESS_KEY, struct.pack("B", REAL_KEY))

mu.hook_add(UC_HOOK_MEM_READ, hook_code)

mu.emu_start(ADDRESS_CODE, ADDRESS_CODE + len(CODE))

decrypted_text = mu.mem_read(ADDRESS_OUT, 5)

print(f"解密后的文本: {decrypted_text.decode()}")

except UcError as e:

print(f"模拟错误: {e}")

if __name__ == "__main__":

start_emulation()

代码解释

代码流程:

初始化环境->分配虚拟内存->写入数据->添加捕获操作->模拟执行指令->读取内存结果

初始化环境

这个跟上面的keystone和capstone一样,就不解释了

mu = Uc(UC_ARCH_X86, UC_MODE_32)

分配虚拟内存

第一行是用于存放堆内存数据,第二行是用于存放执行的代码

mu.mem_map(0x0, 1 * 1024 * 1024)

mu.mem_map(ADDRESS_CODE, 2 * 1024 * 1024)

mem_map用于初始化虚拟内存

第一个参数:内存的虚拟地址基址

第二个参数:内存的大小

内写入数据

第一行写入代码,第二行写入密文,第三行写入解密key

mu.mem_write(ADDRESS_CODE, CODE)

mu.mem_write(ADDRESS_IN, CIPHER_TEXT)

mu.mem_write(ADDRESS_KEY, struct.pack("B", REAL_KEY))

mem_write用于写入虚拟内存

第一个参数:写入内存的地址

第二个参数:写入内存的数据

添加捕获操作

hook用于捕获数据,这里用于捕获key

def hook_code(uc, access, address, size, value, user_data):

if address == ADDRESS_KEY:

key_value = uc.mem_read(address, size)

print(f"key: {hex(key_value[0])}")

mu.hook_add(UC_HOOK_MEM_READ, hook_code)

hook_add添加hook

第一个参数:捕获模式,规定什么时候触发hook,例如:读取内存,中断捕获......

第二个参数:触发的回调函数,回调函数各个参数如下:

def hook_code(uc, access, address, size, value, user_data):

uc:模拟器对象

access:当前访问类型:UC_MEM_READ,UC_MEM_WRITE......

address:当前访问的虚拟地址

size:当前访问数据大小

value:access为UC_MEM_WRITE,则这里为要写入的值

user_data:用户在add_hook时传进去的自定义数据

模拟执行指令

mu.emu_start(ADDRESS_CODE, ADDRESS_CODE + len(CODE))

第一个参数:模拟执行的起始地址

第二个参数:模拟执行的代码大小

读取内存结果

decrypted_text = mu.mem_read(ADDRESS_OUT, 5)

第一个参数:读取内存的地址

第二个参数:读取内存的大小炮退莱坦

http://www.jsqmd.com/news/630789/

相关文章:

  • [转]Assessing Claude Mythos Preview’s cybersecurity capabilities
  • 手把手教你解决Android13中PendingIntent的FLAG_IMMUTABLE报错问题
  • 7步掌握KMS_VL_ALL_AIO:Windows与Office批量激活的完整技术指南
  • 卡梅德生物技术快报|酵母双杂交:cDNA 文库构建与互作蛋白筛选全流程技术解析
  • SMR(Summary-data-based Mendelian Randomization)实战指南:从数据转换到基因查询
  • Golang strings.Builder如何用_Golang Builder拼接教程【对比】
  • Neural Whole-Body Control: HOVER ExBody第二部分:HOVER核心原理 2.1 问题建模:通用条件控制策略 2.2 网络架构:历史感知的Actor-Critic
  • Karpathy的LLM Wiki:一种将RAG从解释器模式升级为编译器模式的架构
  • 再次革新 .NET 的构建和发布方式(一)俅
  • 实时行情系统设计:从协议选择到高可用架构,再到数据源选型蟹
  • 人工智能简述
  • 龙虾-OpenClaw一文详细了解-手搓OpenClaw-5 短期历史窗口与压缩
  • Linux解压神器gunzip:10个实用技巧让你效率翻倍(附真实案例)
  • 别再让pip和conda打架了!用mamba一键搞定PyTorch 2.1.2 + CUDA 11.8 + xformers环境
  • Python面试30分钟突击掌握-LeetCode2-Strings
  • SQL Server下载 SQL Server 2025下载 SQL Server 2022下载 SQL Server 2019下载 SQL Server 2016下载
  • 告别命令恐惧:给设计师/剪辑师的CasaOS搭建指南(Ubuntu 22.04 + 图形化操作)
  • Ansible自动化部署Kubernetes 1.28集群:openEuler 24.03实战指南
  • 龙芯k - 走马观碑组ST驱动移植餐
  • Frps服务端一键安装脚本详解:从下载到面板访问的全流程指南(国内VPS优化版)
  • Modelsim原理图窗口实战指南:从基础操作到高级调试技巧
  • 西门子S7-200SMART与三菱变频器通讯程序:Modbus RTU协议下的高效控制解决方案
  • 穿山甲广告平台新手避坑指南:从注册到收益提升的完整攻略
  • AI 时代:祛魅、适应与重新定义咎
  • 测试文章 - AI工具调用测试
  • AI Agent Harness Engineering 测试与评估:如何衡量智能体的能力边界
  • 国内镜像源极速部署Qt5.15+开发环境(5分钟避坑指南)
  • 基于Nunchaku FLUX.1 CustomV3的室内设计辅助系统
  • 苍穹外卖实战:从百度地图AK配置到微信小程序配送范围校验全流程解析
  • 54k+Star 爆火! AI “新王者框架 “Harness Agent 来了!尼恩 来一次Harness穿透式解读