浅析shellcode 反汇编模拟运行及调试方法
onlinedisassembler
https://onlinedisassembler.com 在线反汇编工具,类似于lda。功能比较单一。
Any.run 等平台在线分析
- 将shellcode保存为文件
- 通过如下脚本,转换shellcode为char数组
import binascii filename = "C:\\Users\\liang\\Desktop\\工作相关\\样本\\rdpscan\\rdpscan\\ssleay32.dll" #filename = "C:\\Users\\liang\\Desktop\\payload" shellcode = "{" ctr = 1 maxlen = 15 for b in open(filename, "rb").read(): shellcode += "0x" + str(binascii.hexlify(b.to_bytes(length=1, byteorder='big')))[2:4] + "," if ctr == maxlen: shellcode += "\n" ctr = 0 ctr += 1 shellcode = shellcode[:-1] + "}" print(shellcode)
1,将结果复制到char shellcode处,并 通过如下vs程序加载shellcod
#include <windows.h> #include <stdio.h> #include <string.h> #pragma comment(linker, "/section:.data,RWE") unsigned char shellcode[] = 复制到这里 typedef void(__stdcall* CODE) (); int main() { PVOID p = NULL; if ((p = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)) == NULL) MessageBoxA(NULL, "申请内存失败", "提醒", MB_OK); if (!(memcpy(p, shellcode, sizeof(shellcode)))) MessageBoxA(NULL, "写内存失败", "提醒", MB_OK); CODE code = (CODE)p; code(); return 0; }
1.设置c运行库的静态编译,如图设置,将运行库设置为多线程/MT
点击生成解决方案,将生成的exe上传至Any.run去分析如图,即可通过在线分析平台去分析shellcode。简单快捷
槽点主要有如下几方面:
- 一定要选择静态编译c运行库,因为Any.run 的运行库可能会不全。以防万一
- shellcode不可以是\xFF 这类形式,必须是0xFF。因为前者属于字符串,后者属于数组。待分析的shellcode较大,超过65535字节后,vs在编译时会报错 fatal error C1091: compiler limit: string exceeds 65535 bytes in length
scdbg
windows shellcode运行模拟器,模拟运行shellcode 对于简单的shellcode 推荐使用此方法,模拟运行找到c2地址
使用文章以及介绍
https://isc.sans.edu/forums/diary/Analyzing+Encoded+Shellcode+with+scdbg/24134
优点
- 支持debug shellcode
- dum内存
- 重定向tcp请求到其他机器,但是不支持urlopen等函数
缺点:
功能较为单一,模拟运行不是很全。有时候可能执行不到某些流程。并且没有实现部分dll的导出函数图片
下载链接
http://sandsprite.com/CodeStuff/scdbg.zip
miasm
miasm是一个python llvm写的逆向工程框架。
但是官方中提供了很多例子,我们可以直接利用官方提供的脚本去完成很多任务
miasm不仅仅支持pe文件,还支持elf等,支持x86,arm,mips等架构
miasm功能不仅仅局限于这些,还有很多好玩的功能,例如自动化脱壳等。参考
https://miasm.re/blog/index.htmlhttps://github.com/cea-sec/miasm/
miasm 反编译shellcode
使用graphviz 加载got文件,获得如下
同理 arm的选择arm,mips选择mips处理器类型
如果不像使用官方自带,可以自己写
沙箱中运行shellcode
记录每步运行的各种寄存器的值
沙箱中运行可执行系统文件
在知道系统架构的情况下 可以选择相应系统架构的sandbox,运行shellcode,从而获得更多信息
可以支持自写dll,方便hook,如图,但是我没写
支持的系统架构如下
其他功能
1.添加断点
# A breakpoint callback takes the jitter as first parameterdef dump(jitter): # Dump data ad address run_addr with a length of len(data) new_data = jitter.vm.get_mem(run_addr, len(data)) # Save to disk open('/tmp/dump.bin', 'wb').write(new_data) # Stop execution return False # Register a callback to the breakpointmyjit.add_breakpoint(0x4000004b, dump)...myjit.cpu.EAX = 0x40000000myjit.init_run(run_addr)myjit.continue_run()
1.hook沙箱中系统函数和peb等和数据结构例如hook urlmon_URLDownloadToCacheFileW
def urlmon_URLDownloadToCacheFileW(jitter): ret_ad, args = jitter.func_args_stdcall(["lpunkcaller", "szurl", "szfilename", "ccfilename", "reserved", "pbsc"]) url = jitter.get_str_unic(args.szurl) print "URL:", url jitter.set_str_unic(args.szfilename, "toto") jitter.func_ret_stdcall(ret_ad, 0)
注意 有时候程序调用沙箱没有实现的api,则需要通过上述该方法自己实现一个 sandbox 默认只实现了以下几个dll的导出函数 ntdll.dll", "kernel32.dll", "user32.dll", "ole32.dll", "urlmon.dll", "ws2_32.dll", 'advapi32.dll', "psapi.dll"
1.读写并修改系统可执行文件
例如pe文件的修改,添加.text区段,修改pe文件结构等。当然,也支持elf,mach-o文件的修改等
import sys from elfesteem import pe_init # Get the shellcode data = open(sys.argv[1]).read() # Generate a PE pe = pe_init.PE(wsize=32) # Add a ".text" section containing the shellcode to the PE s_text = pe.SHList.add_section(name=".text", addr=0x1000, data=data) # Set the entrypoint to the shellcode's address pe.Opthdr.AddressOfEntryPoint = s_text.addr # Write the PE to "sc_pe.py" open('sc_pe.exe', 'w').write(str(pe))
思维扩展sandbox加载一个pe文件在pe文件中申请一段内存,存放shellcode修改eip到shellcode处运行
好处,可以结合pe文件自动分析,分析处该shellcode的具体行为
OD加载shellcode
方法一
需要安装Olly Advanced 插件
随便load一个应用程序Alt+m 打开内存页面,添加内存,如图
将shellcode复制进去设置新的eip
方法二
该方法灵活应用
如图我们可以看出,加载shellcode的方式有以下几个步骤
调用virtualloc申请内存,属性为可写可执行。用来存放shellcode
调用createprocess 执行shellcode
注意,并不是一定通过createprocess去执行shellcode。也可以通过内联汇编jmp,setThreadContext等方式去执行shellcode。理论上,只要可以修改eip,就可以执行shellcode
od中输入命令 bp createprocess
等运行shellcode的时候,od会自动停在createprocess处,也就是shellcode开始执行的位置。如图
总结
以上所述是小编给大家介绍的浅析shellcode 反汇编模拟运行及调试方法,希望对大家有所帮助!
您可能感兴趣的文章:
- OgreSe调试无法运行解决方法
- 在开发机上运行正常在客户机上崩溃的调试方法
- 使用pyinstaller打包成exe之后运行闪退,调试后报出 Unable to acquire Oracle environment handle错误解决方法
- 手工调试自定义控件各主要方法执行顺序(分运行时和设计时)
- 运行无线网络模拟出现的错误与解决方法
- ZOJ1016 题解此题一开始想用模拟算法结果调试了很久也没做出来,之后在网上看到这种方法很巧妙,果断采用。
- VSCode下配置python调试运行环境的方法
- 浅析Dos下运行php.exe,出现没有找到php_mbstring.dll 错误的解决方法
- 【调试技巧】一种针对正在运行的进程中途写值快速调试的方法
- 浅析IBM i上C/C++应用程序编译调试方法
- 关于出现"出现了运行时间错误,是否要进行调试"的解决方法
- gdb 调试工具 --- 使用方法浅析
- Spark运行调试方法与学习资源汇总
- 浅析VS2010反汇编 VS 反汇编方法及常用汇编指令介绍 VS2015使用技巧 调试-反汇编 查看C语言代码对应的汇编代码
- vs2008能调试运行,iis中浏览打开报错等问题的处理方法。
- VS中F5的exe可以运行,但双击exe却不可以运行的调试方法
- 在Android Studio运行的代码,不能在真机ViVO X21A进行调试的常见的错误和 解决的方法
- C#试图运行项目时出错 无法启动调试 解决方法!
- qemu模拟arm并调试汇编的方法和注意事项
- cocos code IDE 自编译模拟器不能正确的运行以及断点调试连接IDE超时的解决方法