当前位置: 首页 > news >正文

FreakStudio郊

环境安装

pip install keystone-engine capstone unicorn

这3个工具用法极其简单,下面通过示例来演示其用法。

Keystone

示例

from keystone import *

CODE = b"INC ECX; ADD EDX, ECX"

try:

ks = Ks(KS_ARCH_X86, KS_MODE_64)

encoding, count = ks.asm(CODE)

print(f"汇编指令数量: {count}")

print(f"机器码 (十进制): {encoding}")

print(f"机器码 (Hex): {''.join(f'{x:02x}' for x in encoding)}")

except KsError as e:

print(f"ERROR: {e}")

代码解释

代码流程十分简单:

初始化keystone->编译代码->输出结果

初始化keystone

ks = Ks(KS_ARCH_X86, KS_MODE_64)

初始化keystone引擎:

第一个参数:选择指令架构例如:x86,arm......

第二个参数:选择模式,例如:64位,32位,小端序......

编译代码

将汇编转换为16进制的shellcode

encoding, count = ks.asm(CODE)

第一个返回值:机器码指令的数组

第二个返回值:汇编指令数量

Capstone

capstone的用法和keystone差不多。

示例

from capstone import *

CODE = b"\xff\xc1\x01\xca"

md = Cs(CS_ARCH_X86, CS_MODE_64)

print("地址\t\t指令\t\t操作数")

print("-" * 30)

for i in md.disasm(CODE, 0x1000):

print(f"0x{i.address:x}:\t{i.mnemonic}\t{i.op_str}")

代码解释

代码流程跟keystone差不多:

初始化capstone->反编译代码->输出结果

初始化capstone

md = Cs(CS_ARCH_X86, CS_MODE_64)

初始化capstone引擎:

第一个参数:选择指令架构例如:x86,arm......

第二个参数:选择模式,例如:64位,32位,小端序......

反编译代码

for i in md.disasm(CODE, 0x1000):

print(f"0x{i.address:x}:\t{i.mnemonic}\t{i.op_str}")

使用方法disasm反汇编:

第一个参数:机器码

第二个参数:第一条指令的基地址

返回:一个包含指令对象的数组

unicorn

unicorn提供的方法使用也不复杂,但需要一定的内存基础知识。

下面用一个案例解释。

示例

情景模拟: 我逆向过程中发现一个xor加密代码,我需要通过模拟执行,对密文进行解密。

根据汇编代码可以得知:

0x20000存放密文

0x30000存放结果

0x10000中读取密钥key

from unicorn import *

from unicorn.x86_const import *

import struct

from keystone import *

ASM_CODE = """

MOV ECX, 5

MOV ESI, 0x20000

MOV EDI, 0x30000

MOV BL, byte ptr [0x10000]

loop_start:

LODSB

XOR AL, BL

STOSB

LOOP loop_start

"""

def get_code():

ks = Ks(KS_ARCH_X86, KS_MODE_32)

encoding, count = ks.asm(ASM_CODE)

return bytes(encoding)

CODE = get_code()

ADDRESS_CODE = 0x400000

ADDRESS_KEY = 0x10000

ADDRESS_IN = 0x20000

ADDRESS_OUT = 0x30000

REAL_KEY = 0x77

CIPHER_TEXT = b"\x3F\x12\x1B\x1B\x18"

def hook_code(uc, access, address, size, value, user_data):

if address == ADDRESS_KEY:

key_value = uc.mem_read(address, size)

print(f"key: {hex(key_value[0])}")

def start_emulation():

try:

print("初始化环境...")

mu = Uc(UC_ARCH_X86, UC_MODE_32)

mu.mem_map(0x0, 1 * 1024 * 1024)

mu.mem_map(ADDRESS_CODE, 2 * 1024 * 1024)

mu.mem_write(ADDRESS_CODE, CODE)

mu.mem_write(ADDRESS_IN, CIPHER_TEXT)

mu.mem_write(ADDRESS_KEY, struct.pack("B", REAL_KEY))

mu.hook_add(UC_HOOK_MEM_READ, hook_code)

mu.emu_start(ADDRESS_CODE, ADDRESS_CODE + len(CODE))

decrypted_text = mu.mem_read(ADDRESS_OUT, 5)

print(f"解密后的文本: {decrypted_text.decode()}")

except UcError as e:

print(f"模拟错误: {e}")

if __name__ == "__main__":

start_emulation()

代码解释

代码流程:

初始化环境->分配虚拟内存->写入数据->添加捕获操作->模拟执行指令->读取内存结果

初始化环境

这个跟上面的keystone和capstone一样,就不解释了

mu = Uc(UC_ARCH_X86, UC_MODE_32)

分配虚拟内存

第一行是用于存放堆内存数据,第二行是用于存放执行的代码

mu.mem_map(0x0, 1 * 1024 * 1024)

mu.mem_map(ADDRESS_CODE, 2 * 1024 * 1024)

mem_map用于初始化虚拟内存

第一个参数:内存的虚拟地址基址

第二个参数:内存的大小

内写入数据

第一行写入代码,第二行写入密文,第三行写入解密key

mu.mem_write(ADDRESS_CODE, CODE)

mu.mem_write(ADDRESS_IN, CIPHER_TEXT)

mu.mem_write(ADDRESS_KEY, struct.pack("B", REAL_KEY))

mem_write用于写入虚拟内存

第一个参数:写入内存的地址

第二个参数:写入内存的数据

添加捕获操作

hook用于捕获数据,这里用于捕获key

def hook_code(uc, access, address, size, value, user_data):

if address == ADDRESS_KEY:

key_value = uc.mem_read(address, size)

print(f"key: {hex(key_value[0])}")

mu.hook_add(UC_HOOK_MEM_READ, hook_code)

hook_add添加hook

第一个参数:捕获模式,规定什么时候触发hook,例如:读取内存,中断捕获......

第二个参数:触发的回调函数,回调函数各个参数如下:

def hook_code(uc, access, address, size, value, user_data):

uc:模拟器对象

access:当前访问类型:UC_MEM_READ,UC_MEM_WRITE......

address:当前访问的虚拟地址

size:当前访问数据大小

value:access为UC_MEM_WRITE,则这里为要写入的值

user_data:用户在add_hook时传进去的自定义数据

模拟执行指令

mu.emu_start(ADDRESS_CODE, ADDRESS_CODE + len(CODE))

第一个参数:模拟执行的起始地址

第二个参数:模拟执行的代码大小

读取内存结果

decrypted_text = mu.mem_read(ADDRESS_OUT, 5)

第一个参数:读取内存的地址

第二个参数:读取内存的大小滋谀父镭

http://www.jsqmd.com/news/630931/

相关文章:

  • 信贷风控实战——如何用MOB和Vintage分析资产质量?
  • 第三章
  • Langchain实战:如何用ChatGLM-4搭建你的第一个AI对话机器人(附完整代码)
  • AI开发-python-langchain框架(--并行流程 )颗
  • SQL如何实现同比环比增长率计算_通过LAG函数与聚合计算
  • 如何3分钟快速配置Android开发环境:智能驱动安装终极指南
  • 2026年广东选有机肥,广正丰性价比首选别错过! - 企业推荐官【官方】
  • 从NOJ到算法实战:一份西工大编程训练题的解题思路与代码精讲
  • c语言的基础知识点
  • 八大网盘直链获取工具:告别限速,拥抱高速下载体验
  • AudioSeal Pixel Studio一文详解:AudioSeal抗重采样/变速/噪声叠加鲁棒性测试
  • Linux内核中的系统调用机制详解
  • 在 Go 语言中声明包级全局 map 的正确方式
  • 市场正规的东莞geo优化公司哪个好 - 企业推荐官【官方】
  • 万字拆解 LLM 运行机制:Token、上下文与采样参数巡
  • Java开发中Lombok插件失效的常见问题与解决方案
  • 基于对比学习的无监督图片旋转判断方法
  • HDMI/DP/TypeC接口检测的硬件实现与设计考量
  • 虾破苍穹(一):RTX 3060 养一只本地“呆呆”龙虾
  • 别再只会ping了!用Wireshark亲手抓个包,看看你的网络请求到底说了啥
  • 告别数据丢失!用GD32F4的USART DMA空闲中断,手把手教你实现高效串口数据流处理
  • 搭建个人飞行雷达:用dump1090实时追踪航班,开启航空监控新体验
  • 论文免费降AI率实操攻略:比话降AI+率零双工具组合打法
  • 东莞靠谱的geo优化品牌哪个好 - 企业推荐官【官方】
  • 深入解析JVM内存模型与引用类型:从原理到实战避坑
  • NoteDiscovery:如何用开源方案构建你的私有知识库?
  • VSCode插件开发:Hunyuan-MT Pro代码注释翻译工具
  • 两块4090显卡,在内网用vLLM跑通Qwen3-30B-AWQ模型,并接入Dify的完整流程
  • Python Scrcpy Client终极指南:如何用Python轻松控制Android设备
  • CANoe之UDS诊断自动化测试(二):核心诊断窗口实战解析