这篇文章主要介绍“怎么使用Miasm分析Shellcode”,在日常操作中,相信很多人在怎么使用Miasm分析Shellcode问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”怎么使用Miasm分析Shellcode”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!让我们从Linux shellcode开始,因为它们不如Windows shellcode复杂。让我们用miasm反汇编shellcode:我们得到以下代码:这里没有什么奇怪的,INT 0x80正在调用系统,并且系统调用代码在第一行移至EAX,0xB是的代码execve。我们可以CALL loc_key_1通过在指令地址+大小和的地址之间取数据来轻松获得数据后的地址loc_key1:接下来我们再来一个更复杂的shellcode:该代码中有条件跳转,我们换成图形化来阅读:要想从静态就理解有点困难,因此让我们看看是否可以使用miasm来模拟它。模拟指令非常容易:M免费云主机域名iasm模拟所有指令,直到我们到达第一个int 0x80调用为止:默认情况下,miasm计算机不执行系统调用,但是可以为该异常添加异常处理程序EXCEPT_INT_XX(EXCEPT_SYSCALL对于Linux x86_64)并自己实现。让我们先打印系统调用号码:这给了我们系统调用:在意识到miasm已经集成了多个syscall实现和使它们由虚拟机执行的方法之前,我开始重新实现shellcode经常使用的一些syscall。我已经提交了一些额外的系统调用的PR,然后我们可以模拟shellcode:我们得到以下syscall跟踪:因此,使用miasm分析linux shellcode非常容易,您可以使用此脚本。由于无法在Windows上对系统调用指令,因此Windows Shellcode需要使用共享库中的函数,这需要使用LoadLibrary和GetProcAddress加载它们,后者首先需要在kernel32.dll DLL文件中找到这两个函数地址。记忆。让我们用metasploit生成第一个shellcode:我们可以使用上面用于Linux的完全相同的代码来生成调用图:在这里,我们看到了大多数shellcode用来获取其自身地址的技巧之一,CALL就是将下一条指令的地址压入堆栈,然后将其存储在EBP中POP。因此CALL EBP,最后一条指令的,就是在第一次调用之后立即调用该指令。而且由于此处仅使用静态分析,所以miasm无法知道EBP中的地址。我们仍然可以在第一次调用后手动反汇编代码:在这里,我们看到的shellcode首先通过以下寻找KERNEL32的地址PEB,PEB_LDR_DATA并LDR_DATA_TABLE_ENTRY在内存中的结构。让我们模拟一下:一直进行到到达为止MOV EDX, DWORD PTR FS:[EAX + 0x30],此指令从内存中的FS段获取TEB结构地址。但是在这种情况下,miasm仅模拟代码,而未在内存中加载任何系统段。为此,我们需要使用miasm的完整Windows Sandbox,但是这些VM仅运行PE文件,因此,我们首先使用简短的脚本使用lief将shellcode转换为完整的PE文件:现在,让我们使用一个miasm沙箱来运行此PE,该沙箱可以选择use-windows-structs将Windows结构加载到内存中(请参见此处的代码):该选项loadbasedll是基于名为的文件夹中的现有dll将DLL结构加载到内存中win_dll(您需要Windows x86_32 DLL)。执行后,出现以下崩溃:如果我们查看文件jitload.py,它实际上调用了在win_api_x86_32.py中实现的DLL函数,并且我们看到kernel32_LoadLibrary确实实现了该函数,但没有实现WSAStartup,因此我们需要自己实现它。Miasm实际上使用了一个非常聪明的技巧来简化新库的实现,沙盒接受附加功能的参数,默认情况下使用调用globals()。这意味着我们只需要在代码中定义一个具有正确名称的函数,它就可以直接作为系统函数使用。让我们尝试ws2_32_WSAStartup:现在我们得到:我们可以继续这种方式,并逐一实现shellcode调用的几个函数:最后,我们对shellcode进行了完整的模拟:到此,关于“怎么使用Miasm分析Shellcode”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注云编程开发博客网站,小编会继续努力为大家带来更多实用的文章!
一、建筑物中和布线系统(PDS) 是一个用于传输语音数据,影像和其他信息的标准结构布线系统二、综合布线的六个子系统 工作区子系统:信息免费云主机域名面板到计算机 水平子系统:从工作区的信息面板到管理子系统,”一般为星形拓扑“ 管理子系统:由交连、互联和I/O组…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。