如何利用LyScript實(shí)現(xiàn)應(yīng)用層鉤子掃描器

今天小編給大家分享一下如何利用LyScript實(shí)現(xiàn)應(yīng)用層鉤子掃描器的相關(guān)知識(shí)點(diǎn)，內(nèi)容詳細(xì)，邏輯清晰，相信大部分人都還太了解這方面的知識(shí)，所以分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后有所收獲，下面我們一起來了解一下吧。

要實(shí)現(xiàn)應(yīng)用層鉤子掃描，我們需要得到程序內(nèi)存文件的機(jī)器碼以及磁盤中的機(jī)器碼，并通過capstone這個(gè)第三方反匯編引擎，對(duì)兩者進(jìn)行反匯編，最后逐條對(duì)比匯編指令，實(shí)現(xiàn)進(jìn)程鉤子掃描的效果。

通過LyScript插件讀取出內(nèi)存中的機(jī)器碼，然后交給第三方反匯編庫執(zhí)行，并將結(jié)果輸出成字典格式。

#coding: utf-8
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug

# 得到內(nèi)存反匯編代碼
def get_memory_disassembly(address,offset,len):
    # 反匯編列表
    dasm_memory_dict = []

    # 內(nèi)存列表
    ref_memory_list = bytearray()

    # 讀取數(shù)據(jù)
    for index in range(offset,len):
        char = dbg.read_memory_byte(address + index)
        ref_memory_list.append(char)

    # 執(zhí)行反匯編
    md = Cs(CS_ARCH_X86,CS_MODE_32)
    for item in md.disasm(ref_memory_list,0x1):
        addr = int(pe_base) + item.address
        dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str})
    return dasm_memory_dict

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    pe_base = dbg.get_local_base()
    pe_size = dbg.get_local_size()

    print("模塊基地址: {}".format(hex(pe_base)))
    print("模塊大小: {}".format(hex(pe_size)))

    # 得到內(nèi)存反匯編代碼
    dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
    print(dasm_memory_list)

    dbg.close()

效果如下：

我們將文件反匯編也寫一下，然后讓其對(duì)比，這樣就可以實(shí)現(xiàn)掃描內(nèi)存與文件中的匯編指令是否一致。

#coding: utf-8
import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug

# 得到內(nèi)存反匯編代碼
def get_memory_disassembly(address,offset,len):
    # 反匯編列表
    dasm_memory_dict = []

    # 內(nèi)存列表
    ref_memory_list = bytearray()

    # 讀取數(shù)據(jù)
    for index in range(offset,len):
        char = dbg.read_memory_byte(address + index)
        ref_memory_list.append(char)

    # 執(zhí)行反匯編
    md = Cs(CS_ARCH_X86,CS_MODE_32)
    for item in md.disasm(ref_memory_list,0x1):
        addr = int(pe_base) + item.address
        dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}
        dasm_memory_dict.append(dic)
    return dasm_memory_dict

# 反匯編文件中的機(jī)器碼
def get_file_disassembly(path):
    opcode_list = []
    pe = pefile.PE(path)
    ImageBase = pe.OPTIONAL_HEADER.ImageBase

    for item in pe.sections:
        if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
            # print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
            VirtualAddress = item.VirtualAddress
            VirtualSize = item.Misc_VirtualSize
            ActualOffset = item.PointerToRawData
    StartVA = ImageBase + VirtualAddress
    StopVA = ImageBase + VirtualAddress + VirtualSize
    with open(path,"rb") as fp:
        fp.seek(ActualOffset)
        HexCode = fp.read(VirtualSize)

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(HexCode, 0):
        addr = hex(int(StartVA) + item.address)
        dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str}
        # print("{}".format(dic))
        opcode_list.append(dic)
    return opcode_list

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    pe_base = dbg.get_local_base()
    pe_size = dbg.get_local_size()

    print("模塊基地址: {}".format(hex(pe_base)))
    print("模塊大小: {}".format(hex(pe_size)))

    # 得到內(nèi)存反匯編代碼
    dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
    dasm_file_list = get_file_disassembly("d://win32project1.exe")

    # 循環(huán)對(duì)比內(nèi)存與文件中的機(jī)器碼
    for index in range(0,len(dasm_file_list)):
        if dasm_memory_list[index] != dasm_file_list[index]:
            print("地址: {:8} --> 內(nèi)存反匯編: {:32} --> 磁盤反匯編: {:32}".
                  format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode")))
    dbg.close()

此處如果一致，則說明沒有鉤子，如果不一致則輸出，這里的輸出結(jié)果不一定準(zhǔn)確，此處只是拋磚引玉。

以上就是“如何利用LyScript實(shí)現(xiàn)應(yīng)用層鉤子掃描器”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家閱讀完這篇文章都有很大的收獲，小編每天都會(huì)為大家更新不同的知識(shí)，如果還想學(xué)習(xí)更多的知識(shí)，請(qǐng)關(guān)注億速云行業(yè)資訊頻道。