• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

内核/用户仿真框架-Speakeasy

框架学习 云涯 3年前 (2021-09-23) 1750次浏览

1 基本简介

说明:https://www.fireeye.com/blog/threat-research/2020/08/emulation-of-malicious-shellcode-with-speakeasy.html

github地址:https://github.com/mandiant/speakeasy

Speakeasy 是一种便携式、模块化的二进制模拟器,旨在模拟 Windows 内核和用户模式恶意软件。支持x86和amd64 平台,支持仿真用户模式和内核模式的 Windows DLL 和EXE以及 shellcode。

Speakeasy 目前使用基于 QEMU 的模拟器引擎 Unicorn 来模拟 x86 和 amd64 架构的 CPU 指令。Speakeasy 旨在通过抽象层支持未来的任意仿真引擎,但目前它依赖于 Unicorn。

目前,模拟器捕获的所有事件都被记录下来,并由 JSON 报告表示,以便于后期处理。此报告包含在仿真期间记录的感兴趣的事件。与大多数模拟器一样,所有 Windows API 调用都与参数一起记录。所有入口点都被模拟并使用其相应的 API 列表进行标记。除了 API 跟踪之外,还会调用其他特定事件,包括文件、注册表和网络访问。所有解码或“内存驻留”字符串都被转储并显示在报告中,以揭示静态字符串分析中找不到的有用信息。

2 基本使用

1. 通过python文件

2. 通过API执行

 

 


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:内核/用户仿真框架-Speakeasy
喜欢 (0)