1 基本简介
说明:https://www.fireeye.com/blog/threat-research/2020/08/emulation-of-malicious-shellcode-with-speakeasy.html
github地址:https://github.com/mandiant/speakeasy
Speakeasy 是一种便携式、模块化的二进制模拟器,旨在模拟 Windows 内核和用户模式恶意软件。支持x86和amd64 平台,支持仿真用户模式和内核模式的 Windows DLL 和EXE以及 shellcode。
Speakeasy 目前使用基于 QEMU 的模拟器引擎 Unicorn 来模拟 x86 和 amd64 架构的 CPU 指令。Speakeasy 旨在通过抽象层支持未来的任意仿真引擎,但目前它依赖于 Unicorn。
目前,模拟器捕获的所有事件都被记录下来,并由 JSON 报告表示,以便于后期处理。此报告包含在仿真期间记录的感兴趣的事件。与大多数模拟器一样,所有 Windows API 调用都与参数一起记录。所有入口点都被模拟并使用其相应的 API 列表进行标记。除了 API 跟踪之外,还会调用其他特定事件,包括文件、注册表和网络访问。所有解码或“内存驻留”字符串都被转储并显示在报告中,以揭示静态字符串分析中找不到的有用信息。
2 基本使用
1. 通过python文件
2. 通过API执行