1 基本简介

说明：https://www.fireeye.com/blog/threat-research/2020/08/emulation-of-malicious-shellcode-with-speakeasy.html

github地址：https://github.com/mandiant/speakeasy

Speakeasy 是一种便携式、模块化的二进制模拟器，旨在模拟 Windows 内核和用户模式恶意软件。支持x86和amd64 平台，支持仿真用户模式和内核模式的 Windows DLL 和EXE以及 shellcode。

Speakeasy 目前使用基于 QEMU 的模拟器引擎 Unicorn 来模拟 x86 和 amd64 架构的 CPU 指令。Speakeasy 旨在通过抽象层支持未来的任意仿真引擎，但目前它依赖于 Unicorn。

目前，模拟器捕获的所有事件都被记录下来，并由 JSON 报告表示，以便于后期处理。此报告包含在仿真期间记录的感兴趣的事件。与大多数模拟器一样，所有 Windows API 调用都与参数一起记录。所有入口点都被模拟并使用其相应的 API 列表进行标记。除了 API 跟踪之外，还会调用其他特定事件，包括文件、注册表和网络访问。所有解码或“内存驻留”字符串都被转储并显示在报告中，以揭示静态字符串分析中找不到的有用信息。

2 基本使用

1. 通过python文件

2. 通过API执行