主頁 > 企業開發 > 4.7 x64dbg 應用層的鉤子掃描

4.7 x64dbg 應用層的鉤子掃描

2023-07-11 08:03:50 企業開發

所謂的應用層鉤子(Application-level hooks)是一種編程技術,它允許應用程式通過在特定事件發生時執行特定代碼來自定義或擴展其行為,這些事件可以是用戶互動,系統事件,或者其他應用程式內部的事件,應用層鉤子是在應用程式中添加自定義代碼的一種靈活的方式,它們可以用于許多不同的用途,如安全審計、性能監視、訪問控制和行為修改等,應用層鉤子通常在應用程式的運行時被呼叫,可以執行一些預定義的操作或觸發一些自定義代碼,

通常情況下,第三方應用在需要擴展一個程式功能是都會采用掛鉤子的方式實作,而由于記憶體資料被修改后磁盤資料依然是原始資料,這就給掃描這些鉤子提供了便利,具體來說鉤子掃描的原理是通過讀取磁盤中的PE檔案中的反匯編代碼,并與記憶體中的代碼作比較,當兩者發生差異是則可以證明此處被掛了鉤子,

本節內容中,筆者將通過一個案例并配合Capstone引擎來實作這個功能,之所以選用該引擎是因為該引擎支持Python包,可以非常容易的與LyScript插件互動,此外Capstone引擎在逆向工程、漏洞分析、惡意代碼分析等領域有廣泛的應用,著名反匯編除錯器IDA則是使用了該引擎作業的,

  • Capstone引擎的主要特點包括:

  • 支持多種指令集:支持x86、ARM、MIPS、PowerPC等多種指令集,且能夠在不同的平臺上運行,

  • 輕量級高效:采用C語言撰寫,代碼簡潔高效,反匯編速度快,

  • 易于使用:提供了易于使用的API和檔案,支持Python、Ruby、Java等多種編程語言,

  • 可定制性:提供了多種可配置選項,能夠滿足不同用戶的需求,

Capstone的安裝非常容易,只需要執行pip install capstone即可完成,使用Capstone反匯編時讀者只需要傳入一個PE檔案路徑,并通過md.disasm(HexCode, 0)即可實作反匯編任務;

代碼首先使用pefile庫讀取PE檔案,獲取檔案的ImageBase,以及名為".text"的節表的VirtualAddress、Misc_VirtualSizePointerToRawData等資訊,接下來,代碼計算了".text"節表的起始地址StartVA和結束地址StopVA,然后使用檔案指標讀取檔案中".text"節表的原始資料,并使用capstone庫進行反匯編,反匯編結果以字典形式存盤,包括反匯編地址和反匯編指令,最后,函式回傳了包含所有反匯編指令的opcode_list串列,

from capstone import *
import pefile

def Disassembly(FilePath):
    opcode_list = []
    pe = pefile.PE(FilePath)
    ImageBase = pe.OPTIONAL_HEADER.ImageBase

    for item in pe.sections:
        if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
            # print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
            VirtualAddress = item.VirtualAddress
            VirtualSize = item.Misc_VirtualSize
            ActualOffset = item.PointerToRawData
    StartVA = ImageBase + VirtualAddress
    StopVA = ImageBase + VirtualAddress + VirtualSize
    with open(FilePath,"rb") as fp:
        fp.seek(ActualOffset)
        HexCode = fp.read(VirtualSize)

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(HexCode, 0):
        addr = hex(int(StartVA) + item.address)
        dic = {"Addr": str(addr) , "OpCode": item.mnemonic + " " + item.op_str}
        print("[+] 反匯編地址: {} 引數: {}".format(addr,dic))
        opcode_list.append(dic)
    return opcode_list

if __name__ == "__main__":
    Disassembly("d://lyshark.exe")

當讀者運行上方代碼片段時,則可輸出lyshark.exe程式內text節所有反匯編代碼片段,輸出效果如下圖所示;

接著我們需要讀入記憶體中的PE檔案機器碼并通過Capstone引擎反匯編為匯編指令集,如下get_memory_disassembly函式則是實作記憶體反匯編的具體實作細節,

此案例中通過read_memory_byte讀入記憶體完整資料,并使用md.disasm依次反匯編,并最終將結果存盤到dasm_memory_dict字典中保存,

import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug

# 得到記憶體反匯編代碼
def get_memory_disassembly(address,offset,len):
    # 反匯編串列
    dasm_memory_dict = []

    # 記憶體串列
    ref_memory_list = bytearray()

    # 讀取資料
    for index in range(offset,len):
        char = dbg.read_memory_byte(address + index)
        ref_memory_list.append(char)

    # 執行反匯編
    md = Cs(CS_ARCH_X86,CS_MODE_32)
    for item in md.disasm(ref_memory_list,0x1):
        addr = int(pe_base) + item.address
        dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str})
    return dasm_memory_dict

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    pe_base = dbg.get_local_base()
    pe_size = dbg.get_local_size()

    print("模塊基地址: {}".format(hex(pe_base)))
    print("模塊大小: {}".format(hex(pe_size)))

    # 得到記憶體反匯編代碼
    dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
    print(dasm_memory_list)

    dbg.close()

執行如上所示代碼,則可輸出當前程式記憶體中的反匯編指令集,并以字典的方式輸出,效果圖如下所示;

這兩項功能實作之后,那么實作記憶體與磁盤之間的比對作業將變得很容易實作,如下代碼中首先通過get_memory_disassembly獲取到記憶體反匯編指令,然后通過get_file_disassembly獲取磁盤反匯編指令,并將兩者dasm_memory_list[index] != dasm_file_list[index]最比較,以此來判斷特定記憶體是否被掛鉤;

import binascii,os,sys
import pefile
from capstone import *
from LyScript32 import MyDebug

# 得到記憶體反匯編代碼
def get_memory_disassembly(address,offset,len):
    # 反匯編串列
    dasm_memory_dict = []

    # 記憶體串列
    ref_memory_list = bytearray()

    # 讀取資料
    for index in range(offset,len):
        char = dbg.read_memory_byte(address + index)
        ref_memory_list.append(char)

    # 執行反匯編
    md = Cs(CS_ARCH_X86,CS_MODE_32)
    for item in md.disasm(ref_memory_list,0x1):
        addr = int(pe_base) + item.address
        dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}
        dasm_memory_dict.append(dic)
    return dasm_memory_dict

# 反匯編檔案中的機器碼
def get_file_disassembly(path):
    opcode_list = []
    pe = pefile.PE(path)
    ImageBase = pe.OPTIONAL_HEADER.ImageBase

    for item in pe.sections:
        if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text":
            # print("虛擬地址: 0x%.8X 虛擬大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize))
            VirtualAddress = item.VirtualAddress
            VirtualSize = item.Misc_VirtualSize
            ActualOffset = item.PointerToRawData
    StartVA = ImageBase + VirtualAddress
    StopVA = ImageBase + VirtualAddress + VirtualSize
    with open(path,"rb") as fp:
        fp.seek(ActualOffset)
        HexCode = fp.read(VirtualSize)

    md = Cs(CS_ARCH_X86, CS_MODE_32)
    for item in md.disasm(HexCode, 0):
        addr = hex(int(StartVA) + item.address)
        dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str}
        # print("{}".format(dic))
        opcode_list.append(dic)
    return opcode_list

if __name__ == "__main__":
    dbg = MyDebug()
    dbg.connect()

    pe_base = dbg.get_local_base()
    pe_size = dbg.get_local_size()

    print("模塊基地址: {}".format(hex(pe_base)))
    print("模塊大小: {}".format(hex(pe_size)))

    # 得到記憶體反匯編代碼
    dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size)
    dasm_file_list = get_file_disassembly("d://lyshark.exe")

    # 回圈對比記憶體與檔案中的機器碼
    for index in range(0,len(dasm_file_list)):
        if dasm_memory_list[index] != dasm_file_list[index]:
            print("地址: {:8} --> 記憶體反匯編: {:32} --> 磁盤反匯編: {:32}".
                  format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode")))
    dbg.close()

運行上方代碼片段,耐性等待一段時間,則可輸出記憶體與磁盤反匯編指令集串列,輸出效果圖如下所示;

原文地址

https://www.lyshark.com/post/ccb35246.html

文章作者:lyshark (王瑞)
文章出處:https://www.cnblogs.com/LyShark/p/17539915.html
本博客所有文章除特別宣告外,均采用 BY-NC-SA 許可協議,轉載請注明出處!

轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/556956.html

標籤:訊息安全

上一篇:前端Vue自定義商品評價頁面單選多選標簽tags組件單選多選按鈕選擇器picker組件

下一篇:返回列表

標籤雲
其他(162345) Python(38273) JavaScript(25528) Java(18294) C(15239) 區塊鏈(8275) C#(7972) AI(7469) 爪哇(7425) MySQL(7292) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5876) 数组(5741) R(5409) Linux(5347) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4615) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2438) ASP.NET(2404) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) HtmlCss(1994) .NET技术(1986) 功能(1967) Web開發(1951) C++(1942) python-3.x(1918) 弹簧靴(1913) xml(1889) PostgreSQL(1882) .NETCore(1863) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • IEEE1588PTP在數字化變電站時鐘同步方面的應用

    IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......

    uj5u.com 2020-09-10 03:51:52 more
  • HTTP request smuggling CL.TE

    CL.TE 簡介 前端通過Content-Length處理請求,通過反向代理或者負載均衡將請求轉發到后端,后端Transfer-Encoding優先級較高,以TE處理請求造成安全問題。 檢測 發送如下資料包 POST / HTTP/1.1 Host: ac391f7e1e9af821806e890 ......

    uj5u.com 2020-09-10 03:52:11 more
  • 網路滲透資料大全單——漏洞庫篇

    網路滲透資料大全單——漏洞庫篇漏洞庫 NVD ——美國國家漏洞庫 →http://nvd.nist.gov/。 CERT ——美國國家應急回應中心 →https://www.us-cert.gov/ OSVDB ——開源漏洞庫 →http://osvdb.org Bugtraq ——賽門鐵克 →ht ......

    uj5u.com 2020-09-10 03:52:15 more
  • 京準講述NTP時鐘服務器應用及原理

    京準講述NTP時鐘服務器應用及原理京準講述NTP時鐘服務器應用及原理 安徽京準電子科技官微——ahjzsz 北斗授時原理 授時是指接識訓通過某種方式獲得本地時間與北斗標準時間的鐘差,然后調整本地時鐘使時差控制在一定的精度范圍內。 衛星導航系統通常由三部分組成:導航授時衛星、地面檢測校正維護系統和用戶 ......

    uj5u.com 2020-09-10 03:52:25 more
  • 利用北斗衛星系統設計NTP網路時間服務器

    利用北斗衛星系統設計NTP網路時間服務器 利用北斗衛星系統設計NTP網路時間服務器 安徽京準電子科技官微——ahjzsz 概述 NTP網路時間服務器是一款支持NTP和SNTP網路時間同步協議,高精度、大容量、高品質的高科技時鐘產品。 NTP網路時間服務器設備采用冗余架構設計,高精度時鐘直接來源于北斗 ......

    uj5u.com 2020-09-10 03:52:35 more
  • 詳細解讀電力系統各種對時方式

    詳細解讀電力系統各種對時方式 詳細解讀電力系統各種對時方式 安徽京準電子科技官微——ahjzsz,更多資料請添加VX 衛星同步時鐘是我京準公司開發研制的應用衛星授時時技術的標準時間顯示和發送的裝置,該裝置以M國全球定位系統(GLOBAL POSITIONING SYSTEM,縮寫為GPS)或者我國北 ......

    uj5u.com 2020-09-10 03:52:45 more
  • 如何保證外包團隊接入企業內網安全

    不管企業規模的大小,只要企業想省錢,那么企業的某些服務就一定會采用外包的形式,然而看似美好又經濟的策略,其實也有不好的一面。下面我通過安全的角度來聊聊使用外包團的安全隱患問題。 先看看什么服務會使用外包的,最常見的就是話務/客服這種需要大量重復性、無技術性的服務,或者是一些銷售外包、特殊的職能外包等 ......

    uj5u.com 2020-09-10 03:52:57 more
  • PHP漏洞之【整型數字型SQL注入】

    0x01 什么是SQL注入 SQL是一種注入攻擊,通過前端帶入后端資料庫進行惡意的SQL陳述句查詢。 0x02 SQL整型注入原理 SQL注入一般發生在動態網站URL地址里,當然也會發生在其它地發,如登錄框等等也會存在注入,只要是和資料庫打交道的地方都有可能存在。 如這里http://192.168. ......

    uj5u.com 2020-09-10 03:55:40 more
  • [GXYCTF2019]禁止套娃

    git泄露獲取原始碼 使用GET傳參,引數為exp 經過三層過濾執行 第一層過濾偽協議,第二層過濾帶引數的函式,第三層過濾一些函式 preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'] (?R)參考當前正則運算式,相當于匹配函式里的引數 因此傳遞 ......

    uj5u.com 2020-09-10 03:56:07 more
  • 等保2.0實施流程

    流程 結論 ......

    uj5u.com 2020-09-10 03:56:16 more
最新发布
  • 4.7 x64dbg 應用層的鉤子掃描

    所謂的應用層鉤子(Application-level hooks)是一種編程技術,它允許應用程式通過在特定事件發生時執行特定代碼來自定義或擴展其行為。這些事件可以是用戶互動,系統事件,或者其他應用程式內部的事件。應用層鉤子是在應用程式中添加自定義代碼的一種靈活的方式。它們可以用于許多不同的用途,如安... ......

    uj5u.com 2023-07-11 08:03:50 more
  • 前端Vue自定義商品評價頁面單選多選標簽tags組件單選多選按鈕選

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:04:00 more
  • 前端Vue自定義精美商品分類串列組件 側邊欄商品分類組件 categor

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:56 more
  • 記錄拖動排序

    *最近專案中要做一個拖動排序功能,首先想到的是之前專案中用過的antd自帶的tree和table的拖動排序,但是只能在對應的組建里使用。這里用的是自定義組件,隨意拖動排序,所以記錄一下實作流程* 1. ***react-dnd*** antd組件的拖動排序都是用的這個庫,使用比較靈活,但是要配置的東 ......

    uj5u.com 2023-07-10 08:03:52 more
  • 前端Vue仿京東淘寶我的優惠券串列組件 用于電商我的優惠券串列頁

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:48 more
  • 前端Vue自定義商品評價頁面單選多選標簽tags組件單選多選按鈕選

    隨著技術的發展,開發的復雜度也越來越高,傳統開發方式將一個系統做成了整塊應用,經常出現的情況就是一個小小的改動或者一個小功能的增加可能會引起整體邏輯的修改,造成牽一發而動全身。 通過組件化開發,可以有效實作單獨開發,單獨維護,而且他們之間可以隨意的進行組合。大大提升開發效率低,降低維護成本。 組件化 ......

    uj5u.com 2023-07-10 08:03:20 more
  • 4.5 x64dbg 探索鉤子劫持技術

    鉤子劫持技術是計算機編程中的一種技術,它們可以讓開發者攔截系統函式或應用程式函式的呼叫,并在函式呼叫前或呼叫后執行自定義代碼,鉤子劫持技術通常用于病毒和惡意軟體,也可以讓開發者擴展或修改系統函式的功能,從而提高軟體的性能和增加新功能。鉤子劫持技術的實作一般需要在對端記憶體中通過`create_allo... ......

    uj5u.com 2023-07-10 08:01:53 more
  • 4.5 x64dbg 探索鉤子劫持技術

    鉤子劫持技術是計算機編程中的一種技術,它們可以讓開發者攔截系統函式或應用程式函式的呼叫,并在函式呼叫前或呼叫后執行自定義代碼,鉤子劫持技術通常用于病毒和惡意軟體,也可以讓開發者擴展或修改系統函式的功能,從而提高軟體的性能和增加新功能。鉤子劫持技術的實作一般需要在對端記憶體中通過`create_allo... ......

    uj5u.com 2023-07-10 07:59:46 more
  • 記錄--在高德地圖實作卷簾效果

    這里給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 介紹 今天介紹一個非常簡單的入門級小案例,就是地圖的卷簾效果實作,各大地圖引擎供應商都有相關示例,很奇怪高德居然沒有,我看了下檔案發現其實也是可以簡單實作的,演示代碼放到文末。本文用到了圖層掩模,即圖層遮罩,讓圖層只在指定范圍內顯示。 實 ......

    uj5u.com 2023-07-09 07:55:18 more
  • 4.4 x64dbg 繞過反除錯保護機制

    在Windows平臺下,應用程式為了保護自己不被除錯器除錯會通過各種方法限制行程除錯自身,通常此類反除錯技識訓限制我們對其進行軟體逆向與漏洞分析,我們以第一種`IsDebuggerPresent`反除錯為例,該函式用于檢查當前程式是否在除錯器的環境下運行。函式回傳一個布林值,如果當前程式正在被除錯,... ......

    uj5u.com 2023-07-09 07:54:29 more