scemu下载 - scemu源码下载

塞穆

x86 32/64 位模拟器，用于安全地模拟恶意软件和其他内容。

SCEMU标志

一些视频

https://www.youtube.com/@JesusOlmos-wm8ch/videos https://www.youtube.com/watch?v=yJ3Bgv3maq0

自动化

Python 应用程序 https://pypi.org/search/?q=pyscemu

Rust 应用程序 https://crates.io/crates/libscemu

特征

？防锈安全，有利于恶意软件。
- 所有依赖项都已生锈。
- 零个不安全{}块。
⚡ 非常快的仿真（比独角兽快得多）
- 2,000,000 条指令/秒
- 379,000 条指令/秒打印每条指令 -vv。
由iced-x86 rust dissasembler 强大的库提供支持。
命令行工具、rust 库和 python 库。
迭代检测器。
内存和寄存器跟踪。
彩色的。
在特定时刻停止并探索状态或修改它。
执行了 339 个 CPU 指令。
260 个 winapi 32 位实现了 15 个 dll。
204 winapi 64 位实现了 10 个 dll。
所有 Linux 系统调用。
SEH链。
向量异常处理程序。
PEB、TEB 结构。
动态链接。
IAT 绑定。
延迟加载。
内存分配器。
与 int3 反应。
未调试的 cpuid。
32 位和 64 位 shellcode 模拟。
pe32 和 pe64 可执行文件模拟。
使用已知有效负载进行完全模拟：
- Metasploit shellcode。
- Metasploit 编码器。
- 钴罢工。
- 谢尔根。
- guloader（目前还不完全，但比调试器更进一步）
- 火星窃取者 PE32。
具有复杂恶意软件功能的部分模拟：
- 古装载机
- 加载器
- 达纳博特

pyscemu 与恶意软件

浣熊，字符串解密
vidar，字符串解密
xloader，彻底谴责
Lokibot，API 反混淆
mars 解压并获取 ioc
shikata解码并获取ioc
danabot 获取字符串

用法

 SCEMU emulator for malware 0.7.10
@sha0coder

USAGE:
    scemu [FLAGS] [OPTIONS]

FLAGS:
    -6, --64bits      enable 64bits architecture emulation
        --banzai      skip unimplemented instructions, and keep up emulating what can be emulated
    -h, --help        Prints help information
    -l, --loops       show loop interations, it is slow.
    -m, --memory      trace all the memory accesses read and write.
    -n, --nocolors    print without colors for redirectin to a file >out
    -r, --regs        print the register values in every step.
    -p, --stack       trace stack on push/pop
    -t, --test        test mode
    -V, --version     Prints version information
    -v, --verbose     -vv for view the assembly, -v only messages, without verbose only see the api calls and goes
                      faster

OPTIONS:
    -b, --base <ADDRESS>               set base address for code
    -c, --console <NUMBER>             select in which moment will spawn the console to inspect.
    -C, --console_addr <ADDRESS>       spawn console on first eip = address
    -a, --entry <ADDRESS>              entry point of the shellcode, by default starts from the beginning.
    -f, --filename <FILE>              set the shellcode binary file.
    -i, --inspect <DIRECTION>          monitor memory like: -i 'dword ptr [ebp + 0x24]
    -M, --maps <PATH>                  select the memory maps folder
        --mxcsr <MXCSR>                set mxcsr register
        --r10 <R10>                    set r10 register
        --r11 <R11>                    set r11 register
        --r12 <R12>                    set r12 register
        --r13 <R13>                    set r13 register
        --r14 <R14>                    set r14 register
        --r15 <R15>                    set r15 register
        --r8 <R8>                      set r8 register
        --r9 <R9>                      set r9 register
        --rax <RAX>                    set rax register
        --rbp <RBP>                    set rbp register
        --rbx <RBX>                    set rbx register
        --rcx <RCX>                    set rcx register
        --rdi <RDI>                    set rdi register
        --rdx <RDX>                    set rdx register
    -R, --reg <REGISTER1,REGISTER2>    trace a specific register in every step, value and content
        --rflags <RFLAGS>              set rflags register
        --rsi <RSI>                    set rsi register
        --rsp <RSP>                    set rsp register
    -x, --script <SCRIPT>              launch an emulation script, see scripts_examples folder
        --stack_address <ADDRESS>      set stack address
    -s, --string <ADDRESS>             monitor string on a specific address
    -T, --trace <TRACE_FILENAME>       output trace to specified file

一些用例

scemu 模拟一个检测 execve() 中断的简单 shellcode。探索基本的 shellcode

我们选择要停止的线路并检查内存。检查基本 shellcode

在 Linux 中模拟 GuLoader win32 的近 200 万条指令后，伪造 cpuid 和其他技巧，到达一个 sigtrap 来迷惑调试器。异常处理程序

api 加载器上的内存转储示例。异常处理程序

默认情况下有多个地图，可以使用 LoadLibraryA 等 api 或从控制台手动创建更多地图。

异常处理程序

基于打印消息的 LdrLoadDLl() 模拟基本 Windows shellcode：消息框

控制台允许查看和编辑 cpu 的当前状态：

 --- console ---
=>h
--- help ---
q ...................... quit
cls .................... clear screen
h ...................... help
s ...................... stack
v ...................... vars
r ...................... register show all
r reg .................. show reg
rc ..................... register change
f ...................... show all flags
fc ..................... clear all flags
fz ..................... toggle flag zero
fs ..................... toggle flag sign
c ...................... continue
ba ..................... breakpoint on address
bi ..................... breakpoint on instruction number
bmr .................... breakpoint on read memory
bmw .................... breakpoint on write memory
bc ..................... clear breakpoint
n ...................... next instruction
eip .................... change eip
push ................... push dword to the stack
pop .................... pop dword from stack
fpu .................... fpu view
md5 .................... check the md5 of a memory map
seh .................... view SEH
veh .................... view vectored execption pointer
m ...................... memory maps
ma ..................... memory allocs
mc ..................... memory create map
mn ..................... memory name of an address
ml ..................... memory load file content to map
mr ..................... memory read, speficy ie: dword ptr [esi]
mw ..................... memory read, speficy ie: dword ptr [esi]  and then: 1af
md ..................... memory dump
mrd .................... memory read dwords
mds .................... memory dump string
mdw .................... memory dump wide string
mdd .................... memory dump to disk
mt ..................... memory test
ss ..................... search string
sb ..................... search bytes
sba .................... search bytes in all the maps
ssa .................... search string in all the maps
ll ..................... linked list walk
d ...................... dissasemble
dt ..................... dump structure
enter .................. step into

cobalt Strike api 加载器与 Metasploit 相同，模拟它： API加载器

Cobalt Strike API 称为：钴罢工

Metasploit rshell API 调用：无国界医生组织rshell

Metasploit SGN 编码器使用很少的 fpu 来隐藏多态性：无国界医生组织编码

同样以 fpu 开头的 Metasploit shikata-ga-nai 编码器：无国界医生组织编码

显示PEB结构：

 =>dt
structure=>peb
address=>0x7ffdf000
PEB {
    reserved1: [
        0x0,
        0x0,
    ],
    being_debugged: 0x0,
    reserved2: 0x0,
    reserved3: [
        0xffffffff,
        0x400000,
    ],
    ldr: 0x77647880,
    process_parameters: 0x2c1118,
    reserved4: [
        0x0,
        0x2c0000,
        0x77647380,
    ],
    alt_thunk_list_ptr: 0x0,
    reserved5: 0x0,
    reserved6: 0x6,
    reserved7: 0x773cd568,
    reserved8: 0x0,
    alt_thunk_list_ptr_32: 0x0,
    reserved9: [
        0x0,
...

显示PEB_LDR_DATA结构：

 =>dt
structure=>PEB_LDR_DATA
address=>0x77647880
PebLdrData {
    length: 0x30,
    initializated: 0x1,
    sshandle: 0x0,
    in_load_order_module_list: ListEntry {
        flink: 0x2c18b8,
        blink: 0x2cff48,
    },
    in_memory_order_module_list: ListEntry {
        flink: 0x2c18c0,
        blink: 0x2cff50,
    },
    in_initialization_order_module_list: ListEntry {
        flink: 0x2c1958,
        blink: 0x2d00d0,
    },
    entry_in_progress: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
}
=>

显示 LDR_DATA_TABLE_ENTRY 和第一个模块名称

 =>dt
structure=>LDR_DATA_TABLE_ENTRY
address=>0x2c18c0
LdrDataTableEntry {
    reserved1: [
        0x2c1950,
        0x77647894,
    ],
    in_memory_order_module_links: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
    reserved2: [
        0x0,
        0x400000,
    ],
    dll_base: 0x4014e0,
    entry_point: 0x1d000,
    reserved3: 0x40003e,
    full_dll_name: 0x2c1716,
    reserved4: [
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
    ],
    reserved5: [
        0x17440012,
        0x4000002c,
        0xffff0000,
    ],
    checksum: 0x1d6cffff,
    reserved6: 0xa640002c,
    time_date_stamp: 0xcdf27764,
}
=>

恶意软件在异常中隐藏了某些内容

 3307726 0x4f9673: push  ebp
3307727 0x4f9674: push  edx
3307728 0x4f9675: push  eax
3307729 0x4f9676: push  ecx
3307730 0x4f9677: push  ecx
3307731 0x4f9678: push  4F96F4h
3307732 0x4f967d: push  dword ptr fs:[0]
Reading SEH 0x0
-------
3307733 0x4f9684: mov   eax,[51068Ch]
--- console ---
=>

让我们检查一下异常结构：

 --- console ---
=>r esp
        esp: 0x22de98
=>dt
structure=>cppeh_record
address=>0x22de98
CppEhRecord {
    old_esp: 0x0,
    exc_ptr: 0x4f96f4,
    next: 0xfffffffe,
    exception_handler: 0xfffffffe,
    scope_table: PScopeTableEntry {
        enclosing_level: 0x278,
        filter_func: 0x51068c,
        handler_func: 0x288,
    },
    try_level: 0x288,
}
=>

这里我们有错误例程 0x4f96f4 和过滤器 0x51068c

展开