scemuダウンロード - scemuソースコードのダウンロード

スカム

マルウェアやその他のものを安全にエミュレートするための x86 32/64 ビットエミュレータ。

SCEMUのロゴ

いくつかのビデオ

https://www.youtube.com/@JesusOlmos-wm8ch/videos https://www.youtube.com/watch?v=yJ3Bgv3maq0

オートメーション

Python アプリ https://pypi.org/search/?q=pyscemu

Rust アプリ https://crates.io/crates/libscemu

特徴

?安全性が高く、マルウェアに対しても優れています。
- すべての依存関係は Rust にあります。
- 安全でないブロックはゼロです。{}
⚡ 非常に高速なエミュレーション (ユニコーンよりもはるかに高速)
- 2,000,000 命令/秒
- すべての命令を 379,000 命令/秒で印刷 -vv。
Iced-x86 Rust 逆アセンブラの素晴らしいライブラリを利用しています。
コマンドラインツール、Rust ライブラリ、Python ライブラリ。
反復検出器。
メモリとレジスタの追跡。
色付けされた。
特定の瞬間に停止し、状態を探索したり変更したりできます。
339 個の CPU 命令が実装されています。
15 DLL で実装された 260 winapi 32 ビット。
204 winapi 64 ビット 10 個の DLL が実装されています。
すべての Linux システムコール。
SEHチェーン。
ベクトル化された例外ハンドラー。
PEB、TEB構造。
ダイナミックリンク。
IAT バインディング。
読み込みが遅れます。
メモリアロケータ。
int3で反応します。
デバッグされていない CPUID。
32 ビットおよび 64 ビットのシェルコードエミュレーション。
pe32 および pe64 実行可能ファイルのエミュレーション。
既知のペイロードを使用した完全なエミュレーション:
- メタスプロイトシェルコード。
- メタスプロイトエンコーダ。
- コバルトストライク。
- シェルゲン。
- guloader (現時点では完全ではありませんが、デバッガーよりもさらに進化しています)
- マーススティーラーPE32。
複雑なマルウェア機能を備えた部分エミュレーション:
- グロダー
- エクスローダー
- ダナボット

pyscemu 対マルウェア

アライグマ、文字列復号化
vidar、文字列の復号化
xloader、完全な非難
lokibot、API 難読化解除
mars の解凍と ioc の取得
shikata デコードして ioc を取得する
ダナボットは文字列を取得します

使用法

 SCEMU emulator for malware 0.7.10
@sha0coder

USAGE:
    scemu [FLAGS] [OPTIONS]

FLAGS:
    -6, --64bits      enable 64bits architecture emulation
        --banzai      skip unimplemented instructions, and keep up emulating what can be emulated
    -h, --help        Prints help information
    -l, --loops       show loop interations, it is slow.
    -m, --memory      trace all the memory accesses read and write.
    -n, --nocolors    print without colors for redirectin to a file >out
    -r, --regs        print the register values in every step.
    -p, --stack       trace stack on push/pop
    -t, --test        test mode
    -V, --version     Prints version information
    -v, --verbose     -vv for view the assembly, -v only messages, without verbose only see the api calls and goes
                      faster

OPTIONS:
    -b, --base <ADDRESS>               set base address for code
    -c, --console <NUMBER>             select in which moment will spawn the console to inspect.
    -C, --console_addr <ADDRESS>       spawn console on first eip = address
    -a, --entry <ADDRESS>              entry point of the shellcode, by default starts from the beginning.
    -f, --filename <FILE>              set the shellcode binary file.
    -i, --inspect <DIRECTION>          monitor memory like: -i 'dword ptr [ebp + 0x24]
    -M, --maps <PATH>                  select the memory maps folder
        --mxcsr <MXCSR>                set mxcsr register
        --r10 <R10>                    set r10 register
        --r11 <R11>                    set r11 register
        --r12 <R12>                    set r12 register
        --r13 <R13>                    set r13 register
        --r14 <R14>                    set r14 register
        --r15 <R15>                    set r15 register
        --r8 <R8>                      set r8 register
        --r9 <R9>                      set r9 register
        --rax <RAX>                    set rax register
        --rbp <RBP>                    set rbp register
        --rbx <RBX>                    set rbx register
        --rcx <RCX>                    set rcx register
        --rdi <RDI>                    set rdi register
        --rdx <RDX>                    set rdx register
    -R, --reg <REGISTER1,REGISTER2>    trace a specific register in every step, value and content
        --rflags <RFLAGS>              set rflags register
        --rsi <RSI>                    set rsi register
        --rsp <RSP>                    set rsp register
    -x, --script <SCRIPT>              launch an emulation script, see scripts_examples folder
        --stack_address <ADDRESS>      set stack address
    -s, --string <ADDRESS>             monitor string on a specific address
    -T, --trace <TRACE_FILENAME>       output trace to specified file

いくつかの使用例

scemu は、execve() 割り込みを検出する単純なシェルコードをエミュレートします。基本的なシェルコードの探索

行を選択して停止し、メモリを検査します。基本的なシェルコードの検査

Linux で GuLoader win32 の 200 万近くの命令をエミュレートし、途中で cpuid やその他のトリックを偽装した後、デバッガを混乱させる sigtrap に到達します。例外ハンドラ

API ローダーのメモリダンプの例。例外ハンドラ

デフォルトでいくつかのマップがあり、LoadLibraryA などの API を使用して、またはコンソールから手動でさらに作成できます。

例外ハンドラ

メッセージを出力する LdrLoadDLl() に基づいて基本的な Windows シェルコードをエミュレートします。メッセージボックス

コンソールでは、CPU の現在の状態を表示および編集できます。

 --- console ---
=>h
--- help ---
q ...................... quit
cls .................... clear screen
h ...................... help
s ...................... stack
v ...................... vars
r ...................... register show all
r reg .................. show reg
rc ..................... register change
f ...................... show all flags
fc ..................... clear all flags
fz ..................... toggle flag zero
fs ..................... toggle flag sign
c ...................... continue
ba ..................... breakpoint on address
bi ..................... breakpoint on instruction number
bmr .................... breakpoint on read memory
bmw .................... breakpoint on write memory
bc ..................... clear breakpoint
n ...................... next instruction
eip .................... change eip
push ................... push dword to the stack
pop .................... pop dword from stack
fpu .................... fpu view
md5 .................... check the md5 of a memory map
seh .................... view SEH
veh .................... view vectored execption pointer
m ...................... memory maps
ma ..................... memory allocs
mc ..................... memory create map
mn ..................... memory name of an address
ml ..................... memory load file content to map
mr ..................... memory read, speficy ie: dword ptr [esi]
mw ..................... memory read, speficy ie: dword ptr [esi]  and then: 1af
md ..................... memory dump
mrd .................... memory read dwords
mds .................... memory dump string
mdw .................... memory dump wide string
mdd .................... memory dump to disk
mt ..................... memory test
ss ..................... search string
sb ..................... search bytes
sba .................... search bytes in all the maps
ssa .................... search string in all the maps
ll ..................... linked list walk
d ...................... dissasemble
dt ..................... dump structure
enter .................. step into

Cobalt Strike API ローダーは、metasploit と同じであり、それをエミュレートします。 APIローダー

Cobalt Strike API は次のように呼び出されます: コバルトストライク

Metasploit rshell API が呼び出されます: msf rシェル

多態性を隠すために少数の FPU を使用する Metasploit SGN エンコーダ: msf エンコード

同じく fpu で始まる Metasploit しかたがないエンコーダ: msf エンコード

PEB 構造の表示:

 =>dt
structure=>peb
address=>0x7ffdf000
PEB {
    reserved1: [
        0x0,
        0x0,
    ],
    being_debugged: 0x0,
    reserved2: 0x0,
    reserved3: [
        0xffffffff,
        0x400000,
    ],
    ldr: 0x77647880,
    process_parameters: 0x2c1118,
    reserved4: [
        0x0,
        0x2c0000,
        0x77647380,
    ],
    alt_thunk_list_ptr: 0x0,
    reserved5: 0x0,
    reserved6: 0x6,
    reserved7: 0x773cd568,
    reserved8: 0x0,
    alt_thunk_list_ptr_32: 0x0,
    reserved9: [
        0x0,
...

PEB_LDR_DATA 構造体の表示:

 =>dt
structure=>PEB_LDR_DATA
address=>0x77647880
PebLdrData {
    length: 0x30,
    initializated: 0x1,
    sshandle: 0x0,
    in_load_order_module_list: ListEntry {
        flink: 0x2c18b8,
        blink: 0x2cff48,
    },
    in_memory_order_module_list: ListEntry {
        flink: 0x2c18c0,
        blink: 0x2cff50,
    },
    in_initialization_order_module_list: ListEntry {
        flink: 0x2c1958,
        blink: 0x2d00d0,
    },
    entry_in_progress: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
}
=>

LDR_DATA_TABLE_ENTRY と最初のモジュール名の表示

 =>dt
structure=>LDR_DATA_TABLE_ENTRY
address=>0x2c18c0
LdrDataTableEntry {
    reserved1: [
        0x2c1950,
        0x77647894,
    ],
    in_memory_order_module_links: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
    reserved2: [
        0x0,
        0x400000,
    ],
    dll_base: 0x4014e0,
    entry_point: 0x1d000,
    reserved3: 0x40003e,
    full_dll_name: 0x2c1716,
    reserved4: [
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
    ],
    reserved5: [
        0x17440012,
        0x4000002c,
        0xffff0000,
    ],
    checksum: 0x1d6cffff,
    reserved6: 0xa640002c,
    time_date_stamp: 0xcdf27764,
}
=>

マルウェアは例外に何かを隠しています

 3307726 0x4f9673: push  ebp
3307727 0x4f9674: push  edx
3307728 0x4f9675: push  eax
3307729 0x4f9676: push  ecx
3307730 0x4f9677: push  ecx
3307731 0x4f9678: push  4F96F4h
3307732 0x4f967d: push  dword ptr fs:[0]
Reading SEH 0x0
-------
3307733 0x4f9684: mov   eax,[51068Ch]
--- console ---
=>

例外構造を調べてみましょう。

 --- console ---
=>r esp
        esp: 0x22de98
=>dt
structure=>cppeh_record
address=>0x22de98
CppEhRecord {
    old_esp: 0x0,
    exc_ptr: 0x4f96f4,
    next: 0xfffffffe,
    exception_handler: 0xfffffffe,
    scope_table: PScopeTableEntry {
        enclosing_level: 0x278,
        filter_func: 0x51068c,
        handler_func: 0x288,
    },
    try_level: 0x288,
}
=>

ここにエラールーチン 0x4f96f4 とフィルター 0x51068c があります。

拡大する