網(wǎng)站首頁 編程語言 正文
Capstone 是一個輕量級的多平臺、多架構(gòu)的反匯編框架,該模塊支持目前所有通用操作系統(tǒng),反匯編架構(gòu)幾乎全部支持,本篇文章將運用LyScript插件結(jié)合Capstone反匯編引擎實現(xiàn)一個鉤子掃描器。
要實現(xiàn)應(yīng)用層鉤子掃描,我們需要得到程序內(nèi)存文件的機器碼以及磁盤中的機器碼,并通過capstone這個第三方反匯編引擎,對兩者進行反匯編,最后逐條對比匯編指令,實現(xiàn)進程鉤子掃描的效果。
LyScript項目地址:https://github.com/lyshark/LyScript
通過LyScript插件讀取出內(nèi)存中的機器碼,然后交給第三方反匯編庫執(zhí)行,并將結(jié)果輸出成字典格式。
#coding: utf-8
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug
# 得到內(nèi)存反匯編代碼
def get_memory_disassembly(address,offset,len):
# 反匯編列表
dasm_memory_dict = []
# 內(nèi)存列表
ref_memory_list = bytearray()
# 讀取數(shù)據(jù)
for index in range(offset,len):
char = dbg.read_memory_byte(address + index)
ref_memory_list.append(char)
# 執(zhí)行反匯編
md = Cs(CS_ARCH_X86,CS_MODE_32)
for item in md.disasm(ref_memory_list,0x1):
addr = int(pe_base) + item.address
dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str})
return dasm_memory_dict
if __name__ == "__main__":
dbg = MyDebug()
dbg.connect()
pe_base = dbg.get_local_base()
pe_size = dbg.get_local_size()
print("模塊基地址: {}".format(hex(pe_base)))
print("模塊大小: {}".format(hex(pe_size)))
# 得到內(nèi)存反匯編代碼
dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
print(dasm_memory_list)
dbg.close()
效果如下:
我們將文件反匯編也寫一下,然后讓其對比,這樣就可以實現(xiàn)掃描內(nèi)存與文件中的匯編指令是否一致。
#coding: utf-8
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug
# 得到內(nèi)存反匯編代碼
def get_memory_disassembly(address,offset,len):
# 反匯編列表
dasm_memory_dict = []
# 內(nèi)存列表
ref_memory_list = bytearray()
# 讀取數(shù)據(jù)
for index in range(offset,len):
char = dbg.read_memory_byte(address + index)
ref_memory_list.append(char)
# 執(zhí)行反匯編
md = Cs(CS_ARCH_X86,CS_MODE_32)
for item in md.disasm(ref_memory_list,0x1):
addr = int(pe_base) + item.address
dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}
dasm_memory_dict.append(dic)
return dasm_memory_dict
# 反匯編文件中的機器碼
def get_file_disassembly(path):
opcode_list = []
pe = pefile.PE(path)
ImageBase = pe.OPTIONAL_HEADER.ImageBase
for item in pe.sections:
if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
# print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
VirtualAddress = item.VirtualAddress
VirtualSize = item.Misc_VirtualSize
ActualOffset = item.PointerToRawData
StartVA = ImageBase + VirtualAddress
StopVA = ImageBase + VirtualAddress + VirtualSize
with open(path,"rb") as fp:
fp.seek(ActualOffset)
HexCode = fp.read(VirtualSize)
md = Cs(CS_ARCH_X86, CS_MODE_32)
for item in md.disasm(HexCode, 0):
addr = hex(int(StartVA) + item.address)
dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str}
# print("{}".format(dic))
opcode_list.append(dic)
return opcode_list
if __name__ == "__main__":
dbg = MyDebug()
dbg.connect()
pe_base = dbg.get_local_base()
pe_size = dbg.get_local_size()
print("模塊基地址: {}".format(hex(pe_base)))
print("模塊大小: {}".format(hex(pe_size)))
# 得到內(nèi)存反匯編代碼
dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
dasm_file_list = get_file_disassembly("d://win32project1.exe")
# 循環(huán)對比內(nèi)存與文件中的機器碼
for index in range(0,len(dasm_file_list)):
if dasm_memory_list[index] != dasm_file_list[index]:
print("地址: {:8} --> 內(nèi)存反匯編: {:32} --> 磁盤反匯編: {:32}".
format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode")))
dbg.close()
此處如果一致,則說明沒有鉤子,如果不一致則輸出,這里的輸出結(jié)果不一定準(zhǔn)確,此處只是拋磚引玉。
原文鏈接:https://www.cnblogs.com/LyShark/p/16548656.html
相關(guān)推薦
- 2022-06-06 解決http://localhost:3000/favicon.ico 的404 問題(含案例解析)
- 2022-09-09 C++中vector<vector<int>?>的基本使用方法_C 語言
- 2022-07-09 二分查找實現(xiàn)及優(yōu)化思考
- 2022-11-28 golang進程內(nèi)存控制避免docker內(nèi)oom_Golang
- 2022-11-01 C語言strlen,strcpy,strcmp,strcat,strstr字符串操作函數(shù)實現(xiàn)_C 語
- 2022-07-06 python如何實現(xiàn)質(zhì)數(shù)求和_python
- 2023-06-19 圖文詳解Go中的channel_Golang
- 2022-09-23 React深入了解原理_React
- 最近更新
-
- window11 系統(tǒng)安裝 yarn
- 超詳細(xì)win安裝深度學(xué)習(xí)環(huán)境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎(chǔ)操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區(qū)別,Jav
- spring @retryable不生效的一種
- Spring Security之認(rèn)證信息的處理
- Spring Security之認(rèn)證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權(quán)
- redisson分布式鎖中waittime的設(shè)
- maven:解決release錯誤:Artif
- restTemplate使用總結(jié)
- Spring Security之安全異常處理
- MybatisPlus優(yōu)雅實現(xiàn)加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務(wù)發(fā)現(xiàn)-Nac
- Spring Security之基于HttpR
- Redis 底層數(shù)據(jù)結(jié)構(gòu)-簡單動態(tài)字符串(SD
- arthas操作spring被代理目標(biāo)對象命令
- Spring中的單例模式應(yīng)用詳解
- 聊聊消息隊列,發(fā)送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速