Quiling.io фреймворк для эмуляции и анализа

Тема в разделе "WASM.RESEARCH", создана пользователем Rel, 2 янв 2020.

  1. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Смотрите, что нашел: https://www.qiling.io/ а вы тут все со своими визорами носитесь.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    И сразу по вашей ссылке пример:

    Код (Text):
    1.  ql.patch(0x004010B5, b'\x90\x90')
    2.     ql.patch(0x004010CD, b'\x90\x90')
    3.     ql.patch(0x0040110B, b'\x90\x90')
    4.     ql.patch(0x00401112, b'\x90\x90')
    5.     # hook at an address with a callback
    6.     ql.hook_address(0x00401016, force_call_dialog_func)
    7.  
    :sarcastic_hand:

    Напихать точек останова это не метод.
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Точек останова? Это же нопы.
     
  4. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Это некоторая функция для замены на нопы, наверно какой то промежуточный стаб не важно. Для работы с апп не допустимы моды в код, крутни этим аспротект например покажи что получится ;)
     
  5. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Каждый раз видя подобный заголовок с замиранием сердца лезу в описание и найдя там предсказуемый х86 плеваясь закрываю :mda:
     
    hiddy и Indy_ нравится это.
  6. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Тебе чего не хватает то? PowerPC штоль?
     
  7. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Дежавю какое-то каждый раз с этим очень скромным списком архитектур (qemu, unicorn). Бывает например вот так:
    А поддерживает оно около 50 архитектур.
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Нет, аспр так и не крутнул. Вирт машины не для анализа предназначены и не многое на них запустится.
     
  9. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Разве стоит анализировать опасные зловреды на своей машине? :dntknw:
    Конкретно в моих целях виртуальная машина отрабаывает свое на 100% - я безнаказанно читаю память игры за пределом виртуальной ос, не привлекая внимание античита, при том, если попытаться подцепить отладчик к процессу игры внутри ос - летит моментальный банан)
     
  10. _edge

    _edge Well-Known Member

    Публикаций:
    1
    Регистрация:
    29 окт 2004
    Сообщения:
    631
    Адрес:
    Russia
    "а так разве можно было?" (с)

    ВМ на то и разрабатывалась, чтобы никак за ее пределы нельзя было выйти, или я чего-то не понимаю?
     
  11. LastNoob

    LastNoob Member

    Публикаций:
    0
    Регистрация:
    28 янв 2018
    Сообщения:
    80
    Наверное, мы не поняли друг-друга.
    Попробую объяснить. У меня есть комп, на нем установлена программа по типу virtual box, в это проге есть своя винда, в которой и происходит все шоу, но эта самая винда даже не догадывается об существовании родительской винды, на которой установлен VB. Основаня винда читает физическую память, а вот та винда, что внутри симуляции даже не подозревает об этом. Как-то так)
    [​IMG]
    Самому забавно на сколько приходится изворачиваться, чтобы успокоить свою бурную фантазию в написании бесполезных программ)
     
  12. f13nd

    f13nd Well-Known Member

    Публикаций:
    0
    Регистрация:
    22 июн 2009
    Сообщения:
    1.995
    Здесь речь не про 50 сортов вмвары, штуки типа этой вообще не подразумевают прямого исполнения кода процом.
     
  13. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    LastNoob,

    > Разве стоит анализировать опасные зловреды на своей машине?

    Ты не правильно понял, вм нужна что бы запустить апп/ос, но не что бы проводить анализ - следить за апп, это не визоры. За исключением ав вм, но на них апп не запустишь полноценно. Потому что из за оптимизации используется аппаратный запуск и лишь не многие события можно отследить, в частности это не касается памяти. Блок кода напрямую на проце исполняется, выборка(пересылки данных) не будут отслежены. Конечно если ты запустил апп на ос-вм, то можно как то отобразить(транслировать) память вм на хост и прочитать. Но вот отследить манипуляции с этой памятью не получится, потому что их нет софтверно.
     
  14. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Именно!
    --- Сообщение объединено, 4 янв 2020 ---
    Зависит от рук их создателя и их пользователя.
     
  15. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    301
    нет видео посмотреть процесс?