Главная страница>Исходный код JSP>Другие категории
Скачать

сцена

Эмулятор x86 32/64bit для безопасной эмуляции вредоносных программ и прочего.

Логотип СЦЕМУ

Некоторые видео

https://www.youtube.com/@JesusOlmos-wm8ch/videos https://www.youtube.com/watch?v=yJ3Bgv3maq0

Автоматизация

Приложения Python https://pypi.org/search/?q=pyscemu

Приложения Rust https://crates.io/crates/libscemu

Функции

  • ? защита от ржавчины, хороша для вредоносных программ.
    • Все зависимости находятся в ржавчине.
    • ноль небезопасных{} блоков.
  • ⚡ очень быстрая эмуляция (гораздо быстрее, чем единорог)
    • 2 000 000 инструкций в секунду
    • 379 000 инструкций в секунду, печать каждой инструкции -vv.
  • работает на потрясающей библиотеке дизассемблера ржавчины Iced-x86.
  • инструмент командной строки, библиотека Rust и библиотека Python.
  • детектор итераций.
  • память и отслеживание регистров.
  • раскрашенный.
  • остановитесь в определенный момент и изучите состояние или измените его.
  • Реализовано 339 инструкций ЦП.
  • 260 WinAPI 32bit реализовано из 15 dll.
  • 204 WinAPI 64bit реализовано из 10 dll.
  • все системные вызовы Linux.
  • Цепи SEH.
  • векторный обработчик исключений.
  • Структуры ПЭБ, ТЭБ.
  • динамическое связывание.
  • Привязка IAT.
  • задержка загрузки.
  • распределитель памяти.
  • реагировать с int3.
  • неотлаженный процессор.
  • Эмуляция 32-битного и 64-битного шеллкода.
  • Эмуляция исполняемых файлов pe32 и pe64.
  • полная эмуляция известных полезных нагрузок:
    • шеллкоды метасплоита.
    • кодировщики метасплоита.
    • кобальтовый удар.
    • шелген.
    • guloader (пока не полностью, но выйдет дальше, чем отладчик)
    • марс похититель пе32.
  • частичная эмуляция со сложными функциями вредоносного ПО:
    • Гулоадер
    • xloader
    • данабот

pyscemu против вредоносного ПО

  • енот, расшифровка строк
  • видар, расшифровка строк
  • xloader, полное порицание
  • локибот, деобфускация API
  • Марс распаковывается и получает ioc
  • декодирование шиката и получение ioc
  • данабот получить строки

Использование 

 SCEMU emulator for malware 0.7.10
@sha0coder

USAGE:
    scemu [FLAGS] [OPTIONS]

FLAGS:
    -6, --64bits      enable 64bits architecture emulation
        --banzai      skip unimplemented instructions, and keep up emulating what can be emulated
    -h, --help        Prints help information
    -l, --loops       show loop interations, it is slow.
    -m, --memory      trace all the memory accesses read and write.
    -n, --nocolors    print without colors for redirectin to a file >out
    -r, --regs        print the register values in every step.
    -p, --stack       trace stack on push/pop
    -t, --test        test mode
    -V, --version     Prints version information
    -v, --verbose     -vv for view the assembly, -v only messages, without verbose only see the api calls and goes
                      faster

OPTIONS:
    -b, --base <ADDRESS>               set base address for code
    -c, --console <NUMBER>             select in which moment will spawn the console to inspect.
    -C, --console_addr <ADDRESS>       spawn console on first eip = address
    -a, --entry <ADDRESS>              entry point of the shellcode, by default starts from the beginning.
    -f, --filename <FILE>              set the shellcode binary file.
    -i, --inspect <DIRECTION>          monitor memory like: -i 'dword ptr [ebp + 0x24]
    -M, --maps <PATH>                  select the memory maps folder
        --mxcsr <MXCSR>                set mxcsr register
        --r10 <R10>                    set r10 register
        --r11 <R11>                    set r11 register
        --r12 <R12>                    set r12 register
        --r13 <R13>                    set r13 register
        --r14 <R14>                    set r14 register
        --r15 <R15>                    set r15 register
        --r8 <R8>                      set r8 register
        --r9 <R9>                      set r9 register
        --rax <RAX>                    set rax register
        --rbp <RBP>                    set rbp register
        --rbx <RBX>                    set rbx register
        --rcx <RCX>                    set rcx register
        --rdi <RDI>                    set rdi register
        --rdx <RDX>                    set rdx register
    -R, --reg <REGISTER1,REGISTER2>    trace a specific register in every step, value and content
        --rflags <RFLAGS>              set rflags register
        --rsi <RSI>                    set rsi register
        --rsp <RSP>                    set rsp register
    -x, --script <SCRIPT>              launch an emulation script, see scripts_examples folder
        --stack_address <ADDRESS>      set stack address
    -s, --string <ADDRESS>             monitor string on a specific address
    -T, --trace <TRACE_FILENAME>       output trace to specified file

Некоторые варианты использования

scemu эмулирует простой шеллкод, обнаруживающий прерывание execve(). изучение базового шеллкода

Выбираем строку для остановки и проверяем память. проверка базового шеллкода

После эмуляции около 2 миллионов инструкций GuLoader win32 в Linux, подделки CPUID и других трюков, он попадает в сигнатуру, чтобы сбить с толку отладчики. обработчики исключений

Пример дампа памяти на API-загрузчике. обработчики исключений

По умолчанию существует несколько карт, и их можно создать с помощью API, например LoadLibraryA, или вручную из консоли.

обработчики исключений

Эмуляция базового шелл-кода Windows на основе LdrLoadDLl(), который печатает сообщение: msgbox

Консоль позволяет просматривать и редактировать текущее состояние процессора: 

 --- console ---
=>h
--- help ---
q ...................... quit
cls .................... clear screen
h ...................... help
s ...................... stack
v ...................... vars
r ...................... register show all
r reg .................. show reg
rc ..................... register change
f ...................... show all flags
fc ..................... clear all flags
fz ..................... toggle flag zero
fs ..................... toggle flag sign
c ...................... continue
ba ..................... breakpoint on address
bi ..................... breakpoint on instruction number
bmr .................... breakpoint on read memory
bmw .................... breakpoint on write memory
bc ..................... clear breakpoint
n ...................... next instruction
eip .................... change eip
push ................... push dword to the stack
pop .................... pop dword from stack
fpu .................... fpu view
md5 .................... check the md5 of a memory map
seh .................... view SEH
veh .................... view vectored execption pointer
m ...................... memory maps
ma ..................... memory allocs
mc ..................... memory create map
mn ..................... memory name of an address
ml ..................... memory load file content to map
mr ..................... memory read, speficy ie: dword ptr [esi]
mw ..................... memory read, speficy ie: dword ptr [esi]  and then: 1af
md ..................... memory dump
mrd .................... memory read dwords
mds .................... memory dump string
mdw .................... memory dump wide string
mdd .................... memory dump to disk
mt ..................... memory test
ss ..................... search string
sb ..................... search bytes
sba .................... search bytes in all the maps
ssa .................... search string in all the maps
ll ..................... linked list walk
d ...................... dissasemble
dt ..................... dump structure
enter .................. step into

API-загрузчик CobaltStrike — тот же, что и Metasploit, имитирующий его: API-загрузчик

API Cobalt Strike вызывает: кобальтовый удар

Metasploit rshell API вызывает: MSF RShell

Кодер Metasploit SGN, использующий несколько fpu, чтобы скрыть полиморфизм: в формате MSF

Кодировщик Metasploit shikata-ga-nai, который также начинается с fpu: в формате MSF

Отображение структуры PEB: 

 =>dt
structure=>peb
address=>0x7ffdf000
PEB {
    reserved1: [
        0x0,
        0x0,
    ],
    being_debugged: 0x0,
    reserved2: 0x0,
    reserved3: [
        0xffffffff,
        0x400000,
    ],
    ldr: 0x77647880,
    process_parameters: 0x2c1118,
    reserved4: [
        0x0,
        0x2c0000,
        0x77647380,
    ],
    alt_thunk_list_ptr: 0x0,
    reserved5: 0x0,
    reserved6: 0x6,
    reserved7: 0x773cd568,
    reserved8: 0x0,
    alt_thunk_list_ptr_32: 0x0,
    reserved9: [
        0x0,
...

Отображение структуры PEB_LDR_DATA: 

 =>dt
structure=>PEB_LDR_DATA
address=>0x77647880
PebLdrData {
    length: 0x30,
    initializated: 0x1,
    sshandle: 0x0,
    in_load_order_module_list: ListEntry {
        flink: 0x2c18b8,
        blink: 0x2cff48,
    },
    in_memory_order_module_list: ListEntry {
        flink: 0x2c18c0,
        blink: 0x2cff50,
    },
    in_initialization_order_module_list: ListEntry {
        flink: 0x2c1958,
        blink: 0x2d00d0,
    },
    entry_in_progress: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
}
=>

Отображение LDR_DATA_TABLE_ENTRY и имени первого модуля. 

 =>dt
structure=>LDR_DATA_TABLE_ENTRY
address=>0x2c18c0
LdrDataTableEntry {
    reserved1: [
        0x2c1950,
        0x77647894,
    ],
    in_memory_order_module_links: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
    reserved2: [
        0x0,
        0x400000,
    ],
    dll_base: 0x4014e0,
    entry_point: 0x1d000,
    reserved3: 0x40003e,
    full_dll_name: 0x2c1716,
    reserved4: [
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
    ],
    reserved5: [
        0x17440012,
        0x4000002c,
        0xffff0000,
    ],
    checksum: 0x1d6cffff,
    reserved6: 0xa640002c,
    time_date_stamp: 0xcdf27764,
}
=>

Вредоносная программа что-то скрывает в исключении 

 3307726 0x4f9673: push  ebp
3307727 0x4f9674: push  edx
3307728 0x4f9675: push  eax
3307729 0x4f9676: push  ecx
3307730 0x4f9677: push  ecx
3307731 0x4f9678: push  4F96F4h
3307732 0x4f967d: push  dword ptr fs:[0]
Reading SEH 0x0
-------
3307733 0x4f9684: mov   eax,[51068Ch]
--- console ---
=>

Давайте проверим структуры исключений: 

 --- console ---
=>r esp
        esp: 0x22de98
=>dt
structure=>cppeh_record
address=>0x22de98
CppEhRecord {
    old_esp: 0x0,
    exc_ptr: 0x4f96f4,
    next: 0xfffffffe,
    exception_handler: 0xfffffffe,
    scope_table: PScopeTableEntry {
        enclosing_level: 0x278,
        filter_func: 0x51068c,
        handler_func: 0x288,
    },
    try_level: 0x288,
}
=>

И здесь у нас есть программа ошибки 0x4f96f4 и фильтр 0x51068c.

Расширять
Дополнительная информация
Связанные приложения
Рекомендуем вам
Связанные новости Все