您好,登錄后才能下訂單哦!
今天小編給大家分享一下如何利用LyScript實(shí)現(xiàn)應(yīng)用層鉤子掃描器的相關(guān)知識(shí)點(diǎn),內(nèi)容詳細(xì),邏輯清晰,相信大部分人都還太了解這方面的知識(shí),所以分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后有所收獲,下面我們一起來了解一下吧。
要實(shí)現(xiàn)應(yīng)用層鉤子掃描,我們需要得到程序內(nèi)存文件的機(jī)器碼以及磁盤中的機(jī)器碼,并通過capstone這個(gè)第三方反匯編引擎,對(duì)兩者進(jìn)行反匯編,最后逐條對(duì)比匯編指令,實(shí)現(xiàn)進(jìn)程鉤子掃描的效果。
通過LyScript插件讀取出內(nèi)存中的機(jī)器碼,然后交給第三方反匯編庫執(zhí)行,并將結(jié)果輸出成字典格式。
#coding: utf-8 import binascii,os,sys import pefile from capstone import * from LyScript32 import MyDebug # 得到內(nèi)存反匯編代碼 def get_memory_disassembly(address,offset,len): # 反匯編列表 dasm_memory_dict = [] # 內(nèi)存列表 ref_memory_list = bytearray() # 讀取數(shù)據(jù) for index in range(offset,len): char = dbg.read_memory_byte(address + index) ref_memory_list.append(char) # 執(zhí)行反匯編 md = Cs(CS_ARCH_X86,CS_MODE_32) for item in md.disasm(ref_memory_list,0x1): addr = int(pe_base) + item.address dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}) return dasm_memory_dict if __name__ == "__main__": dbg = MyDebug() dbg.connect() pe_base = dbg.get_local_base() pe_size = dbg.get_local_size() print("模塊基地址: {}".format(hex(pe_base))) print("模塊大小: {}".format(hex(pe_size))) # 得到內(nèi)存反匯編代碼 dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) print(dasm_memory_list) dbg.close()
效果如下:
我們將文件反匯編也寫一下,然后讓其對(duì)比,這樣就可以實(shí)現(xiàn)掃描內(nèi)存與文件中的匯編指令是否一致。
#coding: utf-8 import binascii,os,sys import pefile from capstone import * from LyScript32 import MyDebug # 得到內(nèi)存反匯編代碼 def get_memory_disassembly(address,offset,len): # 反匯編列表 dasm_memory_dict = [] # 內(nèi)存列表 ref_memory_list = bytearray() # 讀取數(shù)據(jù) for index in range(offset,len): char = dbg.read_memory_byte(address + index) ref_memory_list.append(char) # 執(zhí)行反匯編 md = Cs(CS_ARCH_X86,CS_MODE_32) for item in md.disasm(ref_memory_list,0x1): addr = int(pe_base) + item.address dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str} dasm_memory_dict.append(dic) return dasm_memory_dict # 反匯編文件中的機(jī)器碼 def get_file_disassembly(path): opcode_list = [] pe = pefile.PE(path) ImageBase = pe.OPTIONAL_HEADER.ImageBase for item in pe.sections: if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text": # print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize)) VirtualAddress = item.VirtualAddress VirtualSize = item.Misc_VirtualSize ActualOffset = item.PointerToRawData StartVA = ImageBase + VirtualAddress StopVA = ImageBase + VirtualAddress + VirtualSize with open(path,"rb") as fp: fp.seek(ActualOffset) HexCode = fp.read(VirtualSize) md = Cs(CS_ARCH_X86, CS_MODE_32) for item in md.disasm(HexCode, 0): addr = hex(int(StartVA) + item.address) dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str} # print("{}".format(dic)) opcode_list.append(dic) return opcode_list if __name__ == "__main__": dbg = MyDebug() dbg.connect() pe_base = dbg.get_local_base() pe_size = dbg.get_local_size() print("模塊基地址: {}".format(hex(pe_base))) print("模塊大小: {}".format(hex(pe_size))) # 得到內(nèi)存反匯編代碼 dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) dasm_file_list = get_file_disassembly("d://win32project1.exe") # 循環(huán)對(duì)比內(nèi)存與文件中的機(jī)器碼 for index in range(0,len(dasm_file_list)): if dasm_memory_list[index] != dasm_file_list[index]: print("地址: {:8} --> 內(nèi)存反匯編: {:32} --> 磁盤反匯編: {:32}". format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode"))) dbg.close()
此處如果一致,則說明沒有鉤子,如果不一致則輸出,這里的輸出結(jié)果不一定準(zhǔn)確,此處只是拋磚引玉。
以上就是“如何利用LyScript實(shí)現(xiàn)應(yīng)用層鉤子掃描器”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會(huì)為大家更新不同的知識(shí),如果還想學(xué)習(xí)更多的知識(shí),請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。