[原创]使用模拟器对x64程序进行分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]使用模拟器对x64程序进行分析

发表于: 2019-1-2 11:05 10489

[原创]使用模拟器对x64程序进行分析

hzqst

活跃值

3

2019-1-2 11:05

10489

https://github.com/hzqst/unicorn_pe

基本思路

1、BlackBone manually map 加载模块，重定位，解析导入表。。

2、自己构造虚拟栈、段寄存器、GDT、以及基本运行环境（比如PEB TEB KSHAREDUSERDATA）

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2019-1-2 14:03 被hzqst编辑，原因：

收藏・37

免费・5

支持

分享

赞赏记录

参与人

雪币

留言

时间

PLEBFE

为你点赞~

2023-1-31 03:08

杰克王

为你点赞~

2022-12-30 10:10

白菜大哥

为你点赞~

2019-1-2 15:12

sdestroyer

为你点赞~

2019-1-2 14:30

Editor

为你点赞~

2019-1-2 13:58

查看更多

打赏 + 2.00雪花

打赏次数 1

雪花 + 2.00

收起

+2.00

2019/01/02

最新回复 (17)
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 46 关注私信	猪会被杀掉 1 2 楼挺好,支持一个. 2019-1-2 12:44 1
IamHuskar 雪币： 1372 活跃值： (5832) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 3 楼用户态的模拟吗?qemu-user ? 2019-1-2 12:48 1
hzqst 雪币： 12876 活跃值： (9332) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 599 关注私信	hzqst 3 4 楼 IamHuskar 用户态的模拟吗?qemu-user ? 用户态模拟。qemu-user那个我看了没看到支持windows，就干脆自己写了个 2019-1-2 13:53 1
万剑归宗雪币： 914 活跃值： (2678) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 5 楼后排 2019-1-2 14:41 1
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼我沉迷ExRegisterExtension了，我表示真香 2019-1-2 14:45 1
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 7 楼支持大表哥 2019-1-2 17:06 1
IamHuskar 雪币： 1372 活跃值： (5832) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 8 楼 hzqst 用户态模拟。qemu-user那个我看了没看到支持windows，就干脆自己写了个非常不错。以上帝模式观察程序运行是最舒服的。包括检测内存指令流控制什么的很实用 2019-1-3 10:42 1
囧囧雪币： 284 活跃值： (3824) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 337 粉丝 14 关注私信	囧囧 9 楼各种姿势赞 2019-1-3 19:18 1
杨开银雪币： 9 活跃值： (534) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 167 粉丝 0 关注私信	杨开银 10 楼一江春水向东流 2019-1-3 19:28 1
Tennn 雪币： 1176 活跃值： (1284) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 11 楼支持一个 2019-1-4 00:39 1
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 101 关注私信	blindtiger 1 12 楼表哥牛批 2019-1-4 01:48 1
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 49 关注私信	killpy 2 13 楼这个uc 问题超多鸡肋鸡肋食之无用仍只可惜可惜了我大表哥浪费这么多精力不如研究微软自己家的sandbox吧那个非常牛逼可以实现你想要的一切功能 2019-1-4 18:04 1
IamHuskar 雪币： 1372 活跃值： (5832) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 14 楼 killpy 这个uc 问题超多鸡肋鸡肋食之无用仍只可惜可惜了我大表哥浪费这么多精力不如研究微软自己家的sandbox吧那个非常牛逼可以实现你想要的一切功能 [em_28] 不开源搞起来头痛 2019-1-16 14:33 0
tdsss 雪币： 954 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 57 粉丝 4 关注私信	tdsss 15 楼厉害厉害，学习一下。 2019-1-18 00:03 0
五天雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 125 粉丝 0 关注私信	五天 16 楼赶紧收藏 2019-1-22 15:42 0
1earner 雪币： 330 活跃值： (874) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	1earner 17 楼您好，unicorn_pe在测试的时候总是在下面这个地方崩溃(ldrPtr为空)，请问这该怎么解决呢？还是说我的操作有误？(想从该代码入手学习unicorn和脱壳工具的，无奈测试时遇阻，还望楼主能指点一二，谢谢。) ctx->MapImageToEngine(modInfo.name, (PVOID)modInfo.baseAddress, modInfo.size, modInfo.baseAddress, ((LDR_DATA_TABLE_ENTRY_BASE_T*)(modInfo.ldrPtr))->EntryPoint); 2020-12-13 16:47 0
小小刁民雪币： 263 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 14 粉丝 3 关注私信	小小刁民 18 楼老板我弄了很久都失败呢，有空帮看下是什么问题吗win10-64,一个自己写的SYS小驱动，编译很顺利，比较小白弄了两天也没弄好 2021-4-10 04:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

hzqst

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区