反汇编引擎Capstone   Capstone是Kali Linux自带的一款轻量级反汇编引擎.它可以支持多种硬件构架,如ARM.ARM64.MIPS.X86.该框架使用C语言实现,但支持C++.Python.Ruby.OCaml.C#.Java和Go语言,具有很好的扩展性.因此,该框架被256种工具所集成,如Cuckoo.Binwalk.IntelliJ IDEA.渗透测试人员一额可以通过Python.Ruby语言编写脚本,引入Capstone引擎,从而构建自己的反汇编工具.…

反汇编引擎diStorm3   diStorm3是Kali Linux自带的一款轻量级.容易使用的反汇编引擎.它可以反汇编生成16位.32位和64位指令.它支持的指令集包括FPU.MMX.SSE.SSE2.SSE3.SSSE3.SSE4.3DNow@.x86-64.VMX.AMDs.SVM等.虽然diStorm3采用C语言编写,但可以被Python.Ruby.Java快速封装.这样,用户可以使用Python.Ruby等脚本语言编写脚本,并引入diStorm3,从而定制自己的反汇编工具.…

使用sudo pip install capstone后,使用如下代码import时出现error. from capstone import * 错误信息: File "/usr/local/lib/python2.7/dist-packages/capstone/capstone.py", line 162, in <module> raise ImportError("ERROR: fail to load the dynamic library."…

Capstone 是一个轻量级的多平台.多架构的反汇编框架.Capstone 旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎.Capstone的编译非常简单只需要一步即可轻松得到对应的Lib库文件,如下将介绍该引擎如何被编译,以及简单的测试编译. Capstone 源码下载地址:https://github.com/capstone-engine/capstone 下载好以后直接打开项目,切换到msvc目录下,该目录下就是引擎的编译入口,我们直接打开capstone.slh文件,设置平台工…

第一章  熟悉工作环境和相关工具 1.1 熟悉OllyDBG  操作技巧 1.2 反汇编静态分析工具 IDA(最专业的逆向工具)     快捷键    功能     Enter     跟进函数实现     Esc       返回跟进处     A         解释光标处的地址为一个字符串的首地址     B         十六进制数与二进制数转换     C         解释光标处的地址为一条指令     D         解释光标处的地址为数据,没按一次将会转换这个地址的数据长…

反汇编基本原理与x86指令构造 概要:旨在讲述程序的二进制代码转换到汇编.即反汇编的基本原理.以及 x86 架构的 CPU 的指令构造,有这个基础后就能够自己编写汇编程序了,也能够将二进制代码数据转换成汇编助记指令.当然,把本文当作手冊的阅读指导也是能够的.本文还讲述了 DEBUG 工具的部分功能.32位平台下有一个 DEBUG32 版本号能够配合 DOSBOX 工具执行在 Windos 7 这些 NT 系统上,DEBUG 要使用 MSDOS 5.0 版本号中的.这是一个十分实用的工具,它同一时…

本章开始LyShark将介绍如何在内核中实现InlineHook挂钩这门技术,内核挂钩的第一步需要实现一个动态计算汇编指令长度的功能,该功能可以使用LDE64这个反汇编引擎,该引擎小巧简单可以直接在驱动中使用,LDE引擎是BeaEngine引擎的一部分,后来让BeatriX打包成了一个ShellCode代码,并可以通过typedef动态指针的方式直接调用功能,本章内容作为后期Hook挂钩的铺垫部分,独立出来也是因为代码太多太占空间一篇文章写下来或很长影响阅读. LDE反汇编引擎源代码:https…

近来,ollvm在国内移动安全,尤其是安全加固上的使用越来越广泛,ollvm的混淆和反混淆也被视为比较高等的知识之一,让很多人感到无从下手,望尘莫及.如果你在google上搜索ollvm,你会发现第一页都是中文的搜索结果.其实,llvm和ollvm在国外是比较传统的东西,说到底也只是C++代码,难度大概等同于ART系统源码的程度. 本篇文章目地是为了从另一个从未出现的角度来让一个完全不懂llvm的新手快速上手ollvm,大神请直接跳过. 注意:本文因角度不同,若引起误会,纯属个人理解不同,本人不…

Virut分析 0x00.综合描述 virut样本的执行过程大体可以分为六步:第一步,解密数据代码,并调用解密后的代码:第二步,通过互斥体判断系统环境,解密病毒代码并执行:第三步,创建内存映射文件,执行内存映射文件代码:第四步,遍历进程列表除前4个进程外其他进程全注入代码,挂钩七个函数:第五步,向注入进程创建远程线程(远程线程创建成功不再二次创建),感染hosts文件,感染移动磁盘,修改注册表添加防火墙信任列表,联网受控:第六步,恢复病毒修改的原函数调用,执行原程序功能.完整功能模块图如下: 0…

断断续续的总算的把android开发和逆向的这两本书看完了,虽然没有java,和android开发的基础,但总体感觉起来还是比较能接收的,毕竟都是触类旁通的.当然要深入的话还需要对这门语言的细节特性和奇技淫巧进行挖掘. 这里推荐2本书,个人觉得对android开发入门和android逆向入门比较好的教材: <google android 开发入门与实战> <android 软件安全与逆向分析> 1. 我对android逆向的认识 因为之前有一些windows逆向的基础,在看andr…