心海腿法：驭浪而行，脚下生风的奥义

简介keystone是一个汇编器能够将汇编代码转换成硬编码。

capstone是一个反汇编器能够将硬编码转换为汇编代码。

unicorn是一个模拟器能够模拟cpu执行汇编指令。

通过这3个工具能够帮助我们逆向模拟分析代码绕过动态的反调试简化静态的vm和混淆的困扰。

环境安装/* by

hk - online tools website :

hk/zh/generateethwallets.html */ pip install keystone-engine capstone unicorn这3个工具用法极其简单下面通过示例来演示其用法。

Keystone示例/* by

hk - online tools website :

hk/zh/generateethwallets.html */ from keystone import * CODE bINC ECX; ADD EDX, ECX try: ks Ks(KS_ARCH_X86, KS_MODE_

encoding, count ks.asm(CODE) print(f汇编指令数量: {count}) print(f机器码 (十进制): {encoding}) print(f机器码 (Hex): {.join(f{x:02x} for x in encoding)}) except KsError as e: print(fERROR: {e})代码解释代码流程十分简单初始化keystone-编译代码-输出结果初始化keystoneks Ks(KS_ARCH_X86, KS_MODE_

初始化keystone引擎第一个参数选择指令架构例如x86arm......第二个参数选择模式例如64位32位小端序......编译代码将汇编转换为16进制的shellcodeencoding, count ks.asm(CODE)第一个返回值机器码指令的数组第二个返回值汇编指令数量Capstonecapstone的用法和keystone差不多。

示例from capstone import * CODE b\xff\xc1\x01\xca md Cs(CS_ARCH_X86, CS_MODE_

print(地址\t\t指令\t\t操作数) print(- *

for i in md.disasm(CODE, 0x

: print(f0x{i.address:x}:\t{i.mnemonic}\t{i.op_str})代码解释代码流程跟keystone差不多初始化capstone-反编译代码-输出结果初始化capstonemd Cs(CS_ARCH_X86, CS_MODE_

初始化capstone引擎第一个参数选择指令架构例如x86arm......第二个参数选择模式例如64位32位小端序......反编译代码for i in md.disasm(CODE, 0x

: print(f0x{i.address:x}:\t{i.mnemonic}\t{i.op_str})

使用方法disasm反汇编第一个参数机器码第二个参数第一条指令的基地址返回一个包含指令对象的数组unicornunicorn提供的方法使用也不复杂但需要一定的内存基础知识。

下面用一个案例解释。

示例情景模拟我逆向过程中发现一个xor加密代码我需要通过模拟执行对密文进行解密。

根据汇编代码可以得知0x20000存放密文0x30000存放结果0x10000中读取密钥keyfrom unicorn import * from unicorn.x86_const import * import struct from keystone import * ASM_CODE MOV ECX, 5 MOV ESI, 0x20000 MOV EDI, 0x30000 MOV BL, byte ptr [0x10000] loop_start: LODSB XOR AL, BL STOSB LOOP loop_start def get_code(): ks Ks(KS_ARCH_X86, KS_MODE_

encoding, count ks.asm(ASM_CODE) return bytes(encoding) CODE get_code() ADDRESS_CODE 0x400000 ADDRESS_KEY 0x10000 ADDRESS_IN 0x20000 ADDRESS_OUT 0x30000 REAL_KEY 0x77 CIPHER_TEXT b\x3F\x12\x1B\x1B\x18 def hook_code(uc, access, address, size, value, user_data): if address ADDRESS_KEY: key_value uc.mem_read(address, size) print(fkey: {hex(key_value[0])}) def start_emulation(): try: print(初始化环境...) mu Uc(UC_ARCH_X86, UC_MODE_

mu.mem_map(0x0, 1 * 1024 *

mu.mem_map(ADDRESS_CODE, 2 * 1024 *

mu.mem_write(ADDRESS_CODE, CODE) mu.mem_write(ADDRESS_IN, CIPHER_TEXT) mu.mem_write(ADDRESS_KEY, struct.pack(B, REAL_KEY)) mu.hook_add(UC_HOOK_MEM_READ, hook_code) mu.emu_start(ADDRESS_CODE, ADDRESS_CODE len(CODE)) decrypted_text mu.mem_read(ADDRESS_OUT,

print(f解密后的文本: {decrypted_text.decode()}) except UcError as e: print(f模拟错误: {e}) if __name__ __main__: start_emulation()代码解释代码流程初始化环境-分配虚拟内存-写入数据-添加捕获操作-模拟执行指令-读取内存结果初始化环境这个跟上面的keystone和capstone一样就不解释了mu Uc(UC_ARCH_X86, UC_MODE_

分配虚拟内存第一行是用于存放堆内存数据第二行是用于存放执行的代码mu.mem_map(0x0, 1 * 1024 *

mu.mem_map(ADDRESS_CODE, 2 * 1024 *

mem_map用于初始化虚拟内存第一个参数内存的虚拟地址基址第二个参数内存的大小内写入数据第一行写入代码第二行写入密文第三行写入解密keymu.mem_write(ADDRESS_CODE, CODE) mu.mem_write(ADDRESS_IN, CIPHER_TEXT) mu.mem_write(ADDRESS_KEY, struct.pack(B, REAL_KEY))mem_write用于写入虚拟内存第一个参数写入内存的地址第二个参数写入内存的数据添加捕获操作hook用于捕获数据这里用于捕获keydef hook_code(uc, access, address, size, value, user_data): if address ADDRESS_KEY: key_value uc.mem_read(address, size) print(fkey: {hex(key_value[0])}) mu.hook_add(UC_HOOK_MEM_READ, hook_code)hook_add添加hook第一个参数捕获模式规定什么时候触发hook例如读取内存中断捕获......第二个参数触发的回调函数回调函数各个参数如下def hook_code(uc, access, address, size, value, user_data):uc模拟器对象access当前访问类型UC_MEM_READUC_MEM_WRITE......address当前访问的虚拟地址size当前访问数据大小valueaccess为UC_MEM_WRITE则这里为要写入的值user_data用户在add_hook时传进去的自定义数据模拟执行指令mu.emu_start(ADDRESS_CODE, ADDRESS_CODE len(CODE))第一个参数模拟执行的起始地址第二个参数模拟执行的代码大小读取内存结果decrypted_text mu.mem_read(ADDRESS_OUT,

第一个参数读取内存的地址第二个参数读取内存的大小

子宫视角模拟器(免费版)最新版本更新-子宫视角模拟器(免费版)最新版本更新应用