4.7 x64dbg 應用層的勾點掃描
所謂的應用層勾點(Application-level hooks)是一種程式設計技術,它允許應用程式通過在特定事件發生時執行特定程式碼來自定義或擴充套件其行為。這些事件可以是使用者互動,系統事件,或者其他應用程式內部的事件。應用層勾點是在應用程式中新增自定義程式碼的一種靈活的方式。它們可以用於許多不同的用途,如安全審計、效能監視、存取控制和行為修改等。應用層勾點通常在應用程式的執行時被呼叫,可以執行一些預定義的操作或觸發一些自定義程式碼。
通常情況下,第三方應用在需要擴充套件一個程式功能是都會採用掛勾點的方式實現,而由於記憶體資料被修改後磁碟資料依然是原始資料,這就給掃描這些勾點提供了便利,具體來說勾點掃描的原理是通過讀取磁碟中的PE檔案中的反組合程式碼,並與記憶體中的程式碼作比較,當兩者發生差異是則可以證明此處被掛了勾點。
本節內容中,筆者將通過一個案例並配合Capstone引擎來實現這個功能,之所以選用該引擎是因為該引擎支援Python包,可以非常容易的與LyScript外掛互動,此外Capstone引擎在逆向工程、漏洞分析、惡意程式碼分析等領域有廣泛的應用,著名反組合偵錯程式IDA則是使用了該引擎工作的。
-
Capstone引擎的主要特點包括:
-
支援多種指令集:支援x86、ARM、MIPS、PowerPC等多種指令集,且能夠在不同的平臺上執行。
-
輕量級高效:採用C語言編寫,程式碼簡潔高效,反組合速度快。
-
易於使用:提供了易於使用的API和檔案,支援Python、Ruby、Java等多種程式語言。
-
可客製化性:提供了多種可設定選項,能夠滿足不同使用者的需求。
Capstone的安裝非常容易,只需要執行pip install capstone即可完成,使用Capstone反組合時讀者只需要傳入一個PE檔案路徑,並通過md.disasm(HexCode, 0)即可實現反組合任務;
程式碼首先使用pefile庫讀取PE檔案,獲取檔案的ImageBase,以及名為".text"的節表的VirtualAddress、Misc_VirtualSize和PointerToRawData等資訊。接下來,程式碼計算了".text"節表的起始地址StartVA和結束地址StopVA,然後使用檔案指標讀取檔案中".text"節表的原始資料,並使用capstone庫進行反組合。反組合結果以字典形式儲存,包括反組合地址和反組合指令。最後,函數返回了包含所有反組合指令的opcode_list列表。
from capstone import *
import pefile
def Disassembly(FilePath):
opcode_list = []
pe = pefile.PE(FilePath)
ImageBase = pe.OPTIONAL_HEADER.ImageBase
for item in pe.sections:
if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
# print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
VirtualAddress = item.VirtualAddress
VirtualSize = item.Misc_VirtualSize
ActualOffset = item.PointerToRawData
StartVA = ImageBase + VirtualAddress
StopVA = ImageBase + VirtualAddress + VirtualSize
with open(FilePath,"rb") as fp:
fp.seek(ActualOffset)
HexCode = fp.read(VirtualSize)
md = Cs(CS_ARCH_X86, CS_MODE_32)
for item in md.disasm(HexCode, 0):
addr = hex(int(StartVA) + item.address)
dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
print("[+] 反組合地址: {} 引數: {}".format(addr,dic))
opcode_list.append(dic)
return opcode_list
if __name__ == "__main__":
Disassembly("d://lyshark.exe")
當讀者執行上方程式碼片段時,則可輸出lyshark.exe程式內text節所有反組合程式碼片段,輸出效果如下圖所示;
接著我們需要讀入記憶體中的PE檔案機器碼並通過Capstone引擎反組合為組合指令集,如下get_memory_disassembly函數則是實現記憶體反組合的具體實現細節。
此案例中通過read_memory_byte讀入記憶體完整資料,並使用md.disasm依次反組合,並最終將結果儲存到dasm_memory_dict字典中儲存。
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug
# 得到記憶體反組合程式碼
def get_memory_disassembly(address,offset,len):
# 反組合列表
dasm_memory_dict = []
# 記憶體列表
ref_memory_list = bytearray()
# 讀取資料
for index in range(offset,len):
char = dbg.read_memory_byte(address + index)
ref_memory_list.append(char)
# 執行反組合
md = Cs(CS_ARCH_X86,CS_MODE_32)
for item in md.disasm(ref_memory_list,0x1):
addr = int(pe_base) + item.address
dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str})
return dasm_memory_dict
if __name__ == "__main__":
dbg = MyDebug()
dbg.connect()
pe_base = dbg.get_local_base()
pe_size = dbg.get_local_size()
print("模組基地址: {}".format(hex(pe_base)))
print("模組大小: {}".format(hex(pe_size)))
# 得到記憶體反組合程式碼
dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
print(dasm_memory_list)
dbg.close()
執行如上所示程式碼,則可輸出當前程式記憶體中的反組合指令集,並以字典的方式輸出,效果圖如下所示;
這兩項功能實現之後,那麼實現記憶體與磁碟之間的比對工作將變得很容易實現,如下程式碼中首先通過get_memory_disassembly獲取到記憶體反組合指令,然後通過get_file_disassembly獲取磁碟反組合指令,並將兩者dasm_memory_list[index] != dasm_file_list[index]最比較,以此來判斷特定記憶體是否被掛鉤;
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug
# 得到記憶體反組合程式碼
def get_memory_disassembly(address,offset,len):
# 反組合列表
dasm_memory_dict = []
# 記憶體列表
ref_memory_list = bytearray()
# 讀取資料
for index in range(offset,len):
char = dbg.read_memory_byte(address + index)
ref_memory_list.append(char)
# 執行反組合
md = Cs(CS_ARCH_X86,CS_MODE_32)
for item in md.disasm(ref_memory_list,0x1):
addr = int(pe_base) + item.address
dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}
dasm_memory_dict.append(dic)
return dasm_memory_dict
# 反組合檔案中的機器碼
def get_file_disassembly(path):
opcode_list = []
pe = pefile.PE(path)
ImageBase = pe.OPTIONAL_HEADER.ImageBase
for item in pe.sections:
if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
# print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
VirtualAddress = item.VirtualAddress
VirtualSize = item.Misc_VirtualSize
ActualOffset = item.PointerToRawData
StartVA = ImageBase + VirtualAddress
StopVA = ImageBase + VirtualAddress + VirtualSize
with open(path,"rb") as fp:
fp.seek(ActualOffset)
HexCode = fp.read(VirtualSize)
md = Cs(CS_ARCH_X86, CS_MODE_32)
for item in md.disasm(HexCode, 0):
addr = hex(int(StartVA) + item.address)
dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str}
# print("{}".format(dic))
opcode_list.append(dic)
return opcode_list
if __name__ == "__main__":
dbg = MyDebug()
dbg.connect()
pe_base = dbg.get_local_base()
pe_size = dbg.get_local_size()
print("模組基地址: {}".format(hex(pe_base)))
print("模組大小: {}".format(hex(pe_size)))
# 得到記憶體反組合程式碼
dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
dasm_file_list = get_file_disassembly("d://lyshark.exe")
# 迴圈對比記憶體與檔案中的機器碼
for index in range(0,len(dasm_file_list)):
if dasm_memory_list[index] != dasm_file_list[index]:
print("地址: {:8} --> 記憶體反組合: {:32} --> 磁碟反組合: {:32}".
format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode")))
dbg.close()
執行上方程式碼片段,耐性等待一段時間,則可輸出記憶體與磁碟反組合指令集列表,輸出效果圖如下所示;
原文地址
文章出處:https://www.cnblogs.com/LyShark/p/17539915.html
本部落格所有文章除特別宣告外,均採用 BY-NC-SA 許可協定。轉載請註明出處!