如何使用scemu安全地模拟Shellcode执行
2022-11-20 09:51:37 Author: FreeBuf(查看原文) 阅读量:10 收藏

 关于scemu 

scemu是一款功能强大的Shellcode模拟工具,该工具支持x86 32位模拟仿真,可以帮助广大研究人员以安全的方式运行和分析Shellcode。

 功能介绍 

1、Rust安全,适用于恶意软件;

2、所有依赖项基于Rust;

3、速度运行快;

4、每秒300万条指令;

5、每秒打印100000条指令;

6、iced-x86 rust反编译器提供支持;

7、迭代检测器;

8、内存和寄存器跟踪;

9、代码颜色高亮显示;

10、支持在某个时刻停止、分析和修改状态;

11、实现了105条指令;

12、实现了5个DLL的112个WinAPI;

13、支持所有的Linux系统调用syscall;

14、SEH链;

15、向量异常处理程序;

16、支持PEB、TEB结构;

17、带有内存分配器;

18、支持使用已知Payload测试;

19、Metasploit Shellcode;

20、Metasploit Encoder;

21、Cobalt Strike;

22、Shellgen;

23、Guloader;

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/sha0coder/scemu.git

(向右滑动、查看更多)

 工具使用 

SCEMU 32bits emulator for Shellcodes 0.2.5@sha0coderUSAGE:    scemu [FLAGS] [OPTIONS]FLAGS:    -e, --endpoint    使用Tor或VPN与终端进行通信    -h, --help        输出帮助信息    -l, --loops        显示循环迭代    -m, --memory      跟踪所有的内存访问读取和写入行为    -n, --nocolors      无颜色输出打印    -r, --regs          打印每一步的寄存器值    -V, --version       打印版本信息    -v, --verbose      -vv开启Verbose模式OPTIONS:    -b, --base <ADDRESS>            设置代码基址set base address for code    -c, --console <NUMBER>          选择时间进行控制台信息审查    -C, --console_addr <ADDRESS>    检测到第一个eip = address时生成终端    -a, --entry <ADDRESS>            Shellcode的入口点    -f, --filename <FILE>              设置Shellcode源码文件    -i, --inspect <DIRECTION>         监控内存,例如:-i 'dword ptr [ebp + 0x24]    -M, --maps <PATH>               选择内存映射目录    -R, --reg <REGISTER>             跟踪指定的寄存器,包括值和内容-s, --string <ADDRESS>           监控指定地址的字符串

(向右滑动、查看更多)

 工具使用场景 

scemu模拟一个简单的Shellcode并检测execve()中断:

我们选择某一行停止并检查内存:

在Linux下模拟了将近两百万条GuLoader指令后,伪造cpuid和其他内容,便足以混淆调试器:

API加载器的内存导出数据:

工具默认提供了一些映射信息,我们也可以手动进行创建:

模拟基于LdrLoadDLl()的Windows Shellcode,并输出信息:

终端窗口支持查看和编辑CPU的当前状态:

--- console ---=>h--- help ---q ...................... quitcls .................... clear screenh ...................... helps ...................... stackv ...................... varsr ...................... register show allr reg .................. show regrc ..................... register changef ...................... show all flagsfc ..................... clear all flagsfz ..................... toggle flag zerofs ..................... toggle flag signc ...................... continueba ..................... breakpoint on addressbi ..................... breakpoint on instruction numberbmr .................... breakpoint on read memorybmw .................... breakpoint on write memorybc ..................... clear breakpointn ...................... next instructioneip .................... change eippush ................... push dword to the stackpop .................... pop dword from stackfpu .................... fpu viewmd5 .................... check the md5 of a memory mapseh .................... view SEHveh .................... view vectored execption pointerm ...................... memory mapsma ..................... memory allocsmc ..................... memory create mapmn ..................... memory name of an addressml ..................... memory load file content to mapmr ..................... memory read, speficy ie: dword ptr [esi]mw ..................... memory read, speficy ie: dword ptr [esi]  and then: 1afmd ..................... memory dumpmrd .................... memory read dwordsmds .................... memory dump stringmdw .................... memory dump wide stringmdd .................... memory dump to diskmt ..................... memory testss ..................... search stringsb ..................... search bytessba .................... search bytes in all the mapsssa .................... search string in all the mapsll ..................... linked list walkd ...................... dissasembledt ..................... dump structureenter .................. step into

(向右滑动、查看更多)

Cobalt Stike API加载器与Metasploit类似,模拟结果如下:

Cobalt Strike API调用:

Metasploit rshell API调用:

Metasploit SGN编码器使用FPU来隐藏polymorfism:

Metasploit shikata-ga-nai编码器:

显示PEB结构信息:

=>dtstructure=>pebaddress=>0x7ffdf000PEB {    reserved1: [        0x0,        0x0,    ],    being_debugged: 0x0,    reserved2: 0x0,    reserved3: [        0xffffffff,        0x400000,    ],    ldr: 0x77647880,    process_parameters: 0x2c1118,    reserved4: [        0x0,        0x2c0000,        0x77647380,    ],    alt_thunk_list_ptr: 0x0,    reserved5: 0x0,    reserved6: 0x6,    reserved7: 0x773cd568,    reserved8: 0x0,    alt_thunk_list_ptr_32: 0x0,    reserved9: [        0x0,...

(向右滑动、查看更多)

显示PEB_LDR_DATA结构:

=>dtstructure=>PEB_LDR_DATAaddress=>0x77647880PebLdrData {    length: 0x30,    initializated: 0x1,    sshandle: 0x0,    in_load_order_module_list: ListEntry {        flink: 0x2c18b8,        blink: 0x2cff48,    },    in_memory_order_module_list: ListEntry {        flink: 0x2c18c0,        blink: 0x2cff50,    },    in_initialization_order_module_list: ListEntry {        flink: 0x2c1958,        blink: 0x2d00d0,    },    entry_in_progress: ListEntry {        flink: 0x0,        blink: 0x0,    },}=>

(向右滑动、查看更多)

显示LDR_DATA_TABLE_ENTRY和第一个模块名称:

=>dtstructure=>LDR_DATA_TABLE_ENTRYaddress=>0x2c18c0LdrDataTableEntry {    reserved1: [        0x2c1950,        0x77647894,    ],    in_memory_order_module_links: ListEntry {        flink: 0x0,        blink: 0x0,    },    reserved2: [        0x0,        0x400000,    ],    dll_base: 0x4014e0,    entry_point: 0x1d000,    reserved3: 0x40003e,    full_dll_name: 0x2c1716,    reserved4: [        0x0,        0x0,        0x0,        0x0,        0x0,        0x0,        0x0,        0x0,    ],    reserved5: [        0x17440012,        0x4000002c,        0xffff0000,    ],    checksum: 0x1d6cffff,    reserved6: 0xa640002c,    time_date_stamp: 0xcdf27764,}=>

(向右滑动、查看更多)

恶意软件在异常中隐藏信息:

3307726 0x4f9673: push  ebp3307727 0x4f9674: push  edx3307728 0x4f9675: push  eax3307729 0x4f9676: push  ecx3307730 0x4f9677: push  ecx3307731 0x4f9678: push  4F96F4h3307732 0x4f967d: push  dword ptr fs:[0]Reading SEH 0x0-------3307733 0x4f9684: mov   eax,[51068Ch]--- console ---=>

(向右滑动、查看更多)

检查异常结构:

--- console ---=>r espesp: 0x22de98=>dtstructure=>cppeh_recordaddress=>0x22de98CppEhRecord {old_esp: 0x0,exc_ptr: 0x4f96f4,next: 0xfffffffe,exception_handler: 0xfffffffe,scope_table: PScopeTableEntry {enclosing_level: 0x278,filter_func: 0x51068c,handler_func: 0x288,    },try_level: 0x288,}=>

(向右滑动、查看更多)

项目地址:

https://github.com/sha0coder/scemu

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651204611&idx=4&sn=deadf1c73a5e983fb5976f00a97a393b&chksm=bd1dbe888a6a379e6d3a13e00d75ac00408afa59e8547d9d5c63fe0023be9d04dec479999cdc#rd
如有侵权请联系:admin#unsafe.sh