使用 unicorn 和 capstone 库来模拟 ARM Thumb 指令的执行,并实现多个钩子(hook)来监控代码执行、系统调用和内存读写操作(二)

原创 已于 2024-11-13 17:28:15 修改 · 1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#arm开发 #python #java

于 2024-11-13 17:24:29 首次发布
import unicorn
import capstone
import binascii

def printArm32Regs(mu):
    for i in range(66,78):
        print("R%d,value:%x"%(i-66,mu.reg_read(i)))

#typedef void (*uc_cb_hookcode_t)(uc_engine *uc, uint64_t address, uint32_t size, void *user_data);
def hook_code(mu,address,size,user_data):
    code=mu.mem_read(address,size)
    CP=capstone.Cs(capstone.CS_ARCH_ARM,capstone.CS_MODE_THUMB)
    for i in CP.disasm(code,0,len(code)):
        print("[addr:%x]:%s %s\n"%(address,i.mnemonic,i.op_str))
    print("-----------------------------")
    printArm32Regs(mu)
    print("-----------------------------")
    return

#typedef void (*uc_cb_hookintr_t)(uc_engine *uc, uint32_t intno, void *user_data);
def hook_syscall(mu,intno,user_data):
    print("syscall num:0x%d is called!!"%intno)
    if intno==2:
        print("exit syscall is called!!")
    print("-----------------------------")
    printArm32Regs(mu)
    print("-----------------------------")
    return

#void (*uc_cb_hookmem_t)(uc_engine *uc, uc_mem_type type,uint64_t address, int size, int64_t value, void *user_data);
def hook_mem_write_unmapped(mu,type,address,size,value,user_data):
    if type==unicorn.UC_MEM_WRITE_UNMAPPED:
       print("UC_HOOK_MEM_WRITE_UNMAPPED addr:0x%x,size:%d,value:0x%x"%(address,size,value))
       mu.mem_map(0x0,0x1000)
    print("hook_mem type:%d addr:0x%x,size:%d,value:0x%x" % (type, address, size, value))
    return True


def hook_mem(mu,type,address,size,value,user_data):
    if type==unicorn.UC_MEM_WRITE:
       print("write addr:0x%x,size:%d,value:0x%x"%(address,size,value))
    if type==unicorn.UC_MEM_READ:
       print("read addr:0x%x,size:%d,value:0x%x"%(address,size,value))
最低0.47元/天 解锁文章

200万优质内容无限畅学
java使用capstone将栈顶程序计数器旁的操作码反汇编为指令
qq_37549757的博客
01-03 1168
目录 问题描述: 解决思路: 编写Java代码: 1.pom.xml文件中添加依赖 2.编写测试代码 4.解决错误UnsatisfiedLinkError: Unable to load library 'capstone': Native library (win32-x86-64/capstone.dll) not found in resource path 5.解决错误Di...
实战代码之unicorn模拟调用JNI接口函数(详细注释版,配合前面几篇食用更舒服(*^_^*)
SXXYNHHXX的博客
11-14 290
首先,导入了必要的,包括 Unicorn Capstone,这些提供了 CPU 模拟反汇编的功能。钩子函数在特定事件发生时被触发,例如代码执行内存读写系统调用,这些函数的设计使得开发者能够实时监控模拟过程中的关键操作。代码的核心目标是实现ARM 代码的动态分析调试,允许监控寄存器状态、内存操作函数调用的细节。在模拟过程中,代码首先映射了内存区域,将目标代码数据写入模拟内存中。在执行过程中,钩子函数会被调用,打印出当前的寄存器状态、内存读写操作反汇编指令
Coursera_Capstone:Coursera Capstone储存
04-11
Coursera_Capstone Coursera Capstone储存
capstone:Capstone项目实验的代码
04-22
顶石 Capstone项目实验的代码 使用Google Maps Android示例构建(来自 ) 设定说明 下载安装Android Studio( ) 将Google Play服务包添加到Android Studio 开启Android Studio 单击工具> SDK管理器 在“ SDK管理器”中,单击“外观行为”>“系统设置”>“ Android SDK”。 在SDK工具下,选中“ Google Play服务”框 点击“确定” 下载或克隆此存储 在Android Studio中打开SampleGPSApp 在Android Studio中,依次选择“文件”>“打开”,然后选择项目 我们的示例GPS应用程序位于SampleGPSApp文件夹中 生成运行应用 配置虚拟设备(如果尚未配置) 任何现有设备都可以在“工具”>“ AVD管理器”中看到 如果未配置任何设
CapstonePrj:Capstone项目存储
03-29
凯普斯通 Capstone项目存储
Python玩玩反汇编,一个好玩有趣的全能型的反汇编引擎Capstone
python学习者的博客
12-15 6049
今天要给大家介绍一款全能型的反汇编引擎Capstone。这一款引擎不仅能够跨平台,还跨多种语言,其中就有我们喜爱的Python。 我们利用Capstone也能轻松写出高大上的反汇编工具啦~~~ Capstone 能轻松反汇编多种平台的机器码,例如:x86(普通PC机)、ARM(手机用得比较多)、MIPS(路由) //括号中仅作举例。 更多Python视频、源码、资料加群68338...
unidbg.jar
12-28
unidbg.jar基于unicorn模拟Capstone引擎,可以模拟ARMARM64、Thumb、MIPSX86指令集,支持在不同的架构上进行逆向分析调试工作。它还提供了调试文件、解析Dex文件、路径记录、内存注入、模拟器支持、Hook...
capstone2017-12-8
mazhuang2506013878的博客
12-08 396
课上讲解了JavaScript基础,新知识:驼峰大写、指定时间段调用的方法window.setInterval(方法,时间-单位毫秒);、字符串转换方法parseInt(要改变的元素,进制数); 完成作业自动轮播图,代码: .img{ /* 设置div定位 */ positio
C/C++ Capstone 引擎源码编译
CSDN
09-08 9087
Capstone是一个开源的多架构反汇编框架,用于将机器码转换为可读的汇编指令。它支持多种体系结构指令集,包括x86、ARM、MIPS、PowerPC等,提供了一组简单易用的API来分析进制文件、反汇编指令、获取指令操作数等操作。该框架的编译非常简单只需要一步即可轻松得到对应的Lib文件,如下将介绍该引擎如何被编译,以及简单的测试编译。
capstone简单使用
zhd的博客
03-30 3037
安装 pip install capstone 初始化 Cs(arch, mode) CP = capstone.Cs(capstone.CS_ARCH_ARM, capstone.CS_MODE_THUMB) 反编译 返回CsInsn类型的generator disasm(code, offset, count=0): CsInsn 常用属性 id 指令ID address 指令地址 size 指令大小 bytes 指令机器码 mnemonic 指令助记符 op_str 字符串形式的指令 … 其他的属
cpp-基于UnicornLibFuzzer的模拟执行fuzzing
08-16
基于UnicornLibFuzzer的模拟执行fuzzing
【Android安全】Unicorn工具
Juruo@Security
01-14 995
【Android安全】Unicorn工具
逆向利器Unicorn——一款很酷的指令模拟
weixin_43767456的博客
11-16 2996
Unicorn是一种基于QEMU的轻量级多架构CPU模拟器,可以模拟在不同的CPU架构上执行进制代码。它提供了统一的接口,使得在不同的CPU架构上运行代码变得简单高效。Unicorn的设计目标是提供一个轻量级、高效且可扩展的模拟器,以便在安全研究、调试分析等领域中使用。轻量级:Unicorn模拟器在运行时占用的内存CPU资源都非常少,可以轻松地嵌入到其他应用程序中。多架构:Unicorn支持多种不同的CPU架构,包括x86、ARM、MIPS等,可以轻松地模拟在不同的架构上执行进制代码。
8、Unicorn
宇之日记
10-29 618
QEMU 是一个全面的开源虚拟机管理程序,除了 CPU 仿真之外,它还提供了完整的虚拟化解决方案,可以模拟整个计算机系统,包括 CPU、存储、网络等。,支持 Pharo,Crystal,Clojure,Visual Basic,Perl,Rust,Haskell,Ruby,PythonJava,Go,.NET,Delphi / Pascal MSVC 的编译。QEMU 功能强大、灵活,但也相对复杂,尤其是在配置虚拟机时,它的资源消耗比较高,适合于需要完整系统模拟的应用场景。
unidbg安装运行
Ben_boba的博客
06-27 741
python unicorn engine
m0_49936845的博客
08-13 713
unicorn简介: Unicorn 是一个轻量级, 多平台, 多架构的 CPU 模拟器框架. 我们可以更好地关注 CPU 操作, 忽略机器设备的差异. 想象一下, 我们可以将其应用于这些情景: 比如我们单纯只是需要模拟代码的执行而非需要一个真的 CPU 去完成那些操作, 又或者想要更安全地 分析恶意代码, 检测病毒特征, 或者想要在逆向过程中验证某些代码的含义. 使用 CPU 模拟器可以很好 地帮助我们提供便捷. 它的亮点 (这也归功于 Unicorn 是基于 qemu 而开发) 包括: 支持多种架构:
Unicorn Hook 详解:指令、代码块、内存系统调用
最新发布
02-10 775
UC_HOOK_BLOCK用于 Hook 代码块(Basic Block)执行,在 Unicorn 模拟执行时,每进入一个新的 Basic Block,都会触发 Hook 回调。默认情况下,UC_HOOK_MEM_READ UC_HOOK_MEM_WRITE 会监听所有内存地址的读写。但是,你可以指定特定的内存范围来限制 Hook 的触发范围。第执行时崩溃,因为 SVC 指令触发了系统调用,而 Hook 已移除,没有模拟返回值,导致 CPU 异常 (UC_ERR_EXCEPTION)
2021-06-29
zhangmiaoping23的专栏
06-29 680
转:http://91fans.com.cn/post/unicornone/ 一、目标 Unicorn 是一款非常优秀的跨平台模拟执行框架,该框架可以跨平台执行多种指令集的原生程序。本文介绍如何用Unicorn执行Android原生的so 、分析 先用Android NDK来编译一个so ida分析 三、代码 我们先用Android NDK 来编译一个so main.c #include <stdio.h> #include <string.h> #inclu
反汇编引擎Capstone
weixin_34238633的博客
06-06 710
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值