scemu下載 - scemu原始碼下載

塞穆

x86 32/64 位元模擬器，用於安全地模擬惡意軟體和其他內容。

SCEMU標誌

一些視頻

https://www.youtube.com/@JesusOlmos-wm8ch/videos https://www.youtube.com/watch?v=yJ3Bgv3maq0

自動化

Python 應用程式 https://pypi.org/search/?q=pyscemu

Rust 應用程式 https://crates.io/crates/libscemu

特徵

？防鏽安全，有利於惡意軟體。
- 所有相依性都處於 Rust 狀態。
- 零個不安全{}塊。
⚡ 非常快速的模擬（比獨角獸快得多）
- 2,000,000 條指令/秒
- 379,000 條指令/秒列印每條指令 -vv。
由iced-x86 rust dissasembler 強大的庫提供支援。
命令列工具、rust 庫和 python 庫。
迭代檢測器。
記憶體和寄存器追蹤。
彩色的。
在特定時刻停止並探索狀態或修改它。
執行了 339 個 CPU 指令。
260 個 winapi 32 位元實作了 15 個 dll。
204 winapi 64 位元實作了 10 個 dll。
所有 Linux 系統呼叫。
SEH鏈。
向量異常處理程序。
PEB、TEB 結構。
動態連結。
IAT 綁定。
延遲載入。
記憶體分配器。
與 int3 反應。
未調試的 cpuid。
32 位元和 64 位元 shellcode 模擬。
pe32 和 pe64 執行檔模擬。
使用已知有效負載進行完全模擬：
- Metasploit shellcode。
- Metasploit 編碼器。
- 鈷罷工。
- 謝爾根。
- guloader（目前還不完全，但比調試器更進一步）
- 火星竊取者 PE32。
具有複雜惡意軟體功能的部分模擬：
- 古裝載機
- 載入器
- 達納博特

pyscemu 與惡意軟體

浣熊，字串解密
vidar，字串解密
xloader，徹底譴責
Lokibot，API 反混淆
mars 解壓縮並取得 ioc
shikata解碼並取得ioc
danabot 取得字串

用法

 SCEMU emulator for malware 0.7.10
@sha0coder

USAGE:
    scemu [FLAGS] [OPTIONS]

FLAGS:
    -6, --64bits      enable 64bits architecture emulation
        --banzai      skip unimplemented instructions, and keep up emulating what can be emulated
    -h, --help        Prints help information
    -l, --loops       show loop interations, it is slow.
    -m, --memory      trace all the memory accesses read and write.
    -n, --nocolors    print without colors for redirectin to a file >out
    -r, --regs        print the register values in every step.
    -p, --stack       trace stack on push/pop
    -t, --test        test mode
    -V, --version     Prints version information
    -v, --verbose     -vv for view the assembly, -v only messages, without verbose only see the api calls and goes
                      faster

OPTIONS:
    -b, --base <ADDRESS>               set base address for code
    -c, --console <NUMBER>             select in which moment will spawn the console to inspect.
    -C, --console_addr <ADDRESS>       spawn console on first eip = address
    -a, --entry <ADDRESS>              entry point of the shellcode, by default starts from the beginning.
    -f, --filename <FILE>              set the shellcode binary file.
    -i, --inspect <DIRECTION>          monitor memory like: -i 'dword ptr [ebp + 0x24]
    -M, --maps <PATH>                  select the memory maps folder
        --mxcsr <MXCSR>                set mxcsr register
        --r10 <R10>                    set r10 register
        --r11 <R11>                    set r11 register
        --r12 <R12>                    set r12 register
        --r13 <R13>                    set r13 register
        --r14 <R14>                    set r14 register
        --r15 <R15>                    set r15 register
        --r8 <R8>                      set r8 register
        --r9 <R9>                      set r9 register
        --rax <RAX>                    set rax register
        --rbp <RBP>                    set rbp register
        --rbx <RBX>                    set rbx register
        --rcx <RCX>                    set rcx register
        --rdi <RDI>                    set rdi register
        --rdx <RDX>                    set rdx register
    -R, --reg <REGISTER1,REGISTER2>    trace a specific register in every step, value and content
        --rflags <RFLAGS>              set rflags register
        --rsi <RSI>                    set rsi register
        --rsp <RSP>                    set rsp register
    -x, --script <SCRIPT>              launch an emulation script, see scripts_examples folder
        --stack_address <ADDRESS>      set stack address
    -s, --string <ADDRESS>             monitor string on a specific address
    -T, --trace <TRACE_FILENAME>       output trace to specified file

一些用例

scemu 模擬一個偵測 execve() 中斷的簡單 shellcode。探索基本的 shellcode

我們選擇要停止的線路並檢查記憶體。檢查基本 shellcode

在 Linux 中模擬 GuLoader win32 的近 200 萬條指令後，偽造 cpuid 和其他技巧，得到一個 sigtrap 來迷惑調試器。例外處理程序

api 載入器上的記憶體轉儲範例。例外處理程序

預設有多個地圖，可以使用 LoadLibraryA 等 api 或從控制台手動建立更多地圖。

例外處理程序

基於列印訊息的 LdrLoadDLl() 模擬基本 Windows shellcode：訊息框

控制台允許檢視和編輯 cpu 的當前狀態：

 --- console ---
=>h
--- help ---
q ...................... quit
cls .................... clear screen
h ...................... help
s ...................... stack
v ...................... vars
r ...................... register show all
r reg .................. show reg
rc ..................... register change
f ...................... show all flags
fc ..................... clear all flags
fz ..................... toggle flag zero
fs ..................... toggle flag sign
c ...................... continue
ba ..................... breakpoint on address
bi ..................... breakpoint on instruction number
bmr .................... breakpoint on read memory
bmw .................... breakpoint on write memory
bc ..................... clear breakpoint
n ...................... next instruction
eip .................... change eip
push ................... push dword to the stack
pop .................... pop dword from stack
fpu .................... fpu view
md5 .................... check the md5 of a memory map
seh .................... view SEH
veh .................... view vectored execption pointer
m ...................... memory maps
ma ..................... memory allocs
mc ..................... memory create map
mn ..................... memory name of an address
ml ..................... memory load file content to map
mr ..................... memory read, speficy ie: dword ptr [esi]
mw ..................... memory read, speficy ie: dword ptr [esi]  and then: 1af
md ..................... memory dump
mrd .................... memory read dwords
mds .................... memory dump string
mdw .................... memory dump wide string
mdd .................... memory dump to disk
mt ..................... memory test
ss ..................... search string
sb ..................... search bytes
sba .................... search bytes in all the maps
ssa .................... search string in all the maps
ll ..................... linked list walk
d ...................... dissasemble
dt ..................... dump structure
enter .................. step into

cobalt Strike api 載入器與 Metasploit 相同，模擬它： API載入器

Cobalt Strike API 稱為：鈷罷工

Metasploit rshell API 呼叫：無國界醫生組織rshell

Metasploit SGN 編碼器使用很少的 fpu 來隱藏多型性：無國界醫生組織編碼

同樣以 fpu 開頭的 Metasploit shikata-ga-nai 編碼器：無國界醫生組織編碼

顯示PEB結構：

 =>dt
structure=>peb
address=>0x7ffdf000
PEB {
    reserved1: [
        0x0,
        0x0,
    ],
    being_debugged: 0x0,
    reserved2: 0x0,
    reserved3: [
        0xffffffff,
        0x400000,
    ],
    ldr: 0x77647880,
    process_parameters: 0x2c1118,
    reserved4: [
        0x0,
        0x2c0000,
        0x77647380,
    ],
    alt_thunk_list_ptr: 0x0,
    reserved5: 0x0,
    reserved6: 0x6,
    reserved7: 0x773cd568,
    reserved8: 0x0,
    alt_thunk_list_ptr_32: 0x0,
    reserved9: [
        0x0,
...

顯示PEB_LDR_DATA結構：

 =>dt
structure=>PEB_LDR_DATA
address=>0x77647880
PebLdrData {
    length: 0x30,
    initializated: 0x1,
    sshandle: 0x0,
    in_load_order_module_list: ListEntry {
        flink: 0x2c18b8,
        blink: 0x2cff48,
    },
    in_memory_order_module_list: ListEntry {
        flink: 0x2c18c0,
        blink: 0x2cff50,
    },
    in_initialization_order_module_list: ListEntry {
        flink: 0x2c1958,
        blink: 0x2d00d0,
    },
    entry_in_progress: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
}
=>

顯示 LDR_DATA_TABLE_ENTRY 和第一個模組名稱

 =>dt
structure=>LDR_DATA_TABLE_ENTRY
address=>0x2c18c0
LdrDataTableEntry {
    reserved1: [
        0x2c1950,
        0x77647894,
    ],
    in_memory_order_module_links: ListEntry {
        flink: 0x0,
        blink: 0x0,
    },
    reserved2: [
        0x0,
        0x400000,
    ],
    dll_base: 0x4014e0,
    entry_point: 0x1d000,
    reserved3: 0x40003e,
    full_dll_name: 0x2c1716,
    reserved4: [
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
        0x0,
    ],
    reserved5: [
        0x17440012,
        0x4000002c,
        0xffff0000,
    ],
    checksum: 0x1d6cffff,
    reserved6: 0xa640002c,
    time_date_stamp: 0xcdf27764,
}
=>

惡意軟體在異常中隱藏了某些內容

 3307726 0x4f9673: push  ebp
3307727 0x4f9674: push  edx
3307728 0x4f9675: push  eax
3307729 0x4f9676: push  ecx
3307730 0x4f9677: push  ecx
3307731 0x4f9678: push  4F96F4h
3307732 0x4f967d: push  dword ptr fs:[0]
Reading SEH 0x0
-------
3307733 0x4f9684: mov   eax,[51068Ch]
--- console ---
=>

讓我們檢查一下異常結構：

 --- console ---
=>r esp
        esp: 0x22de98
=>dt
structure=>cppeh_record
address=>0x22de98
CppEhRecord {
    old_esp: 0x0,
    exc_ptr: 0x4f96f4,
    next: 0xfffffffe,
    exception_handler: 0xfffffffe,
    scope_table: PScopeTableEntry {
        enclosing_level: 0x278,
        filter_func: 0x51068c,
        handler_func: 0x288,
    },
    try_level: 0x288,
}
=>

這裡我們有錯誤例程 0x4f96f4 和過濾器 0x51068c

展開