您好,登录后才能下订单哦!
今天小编给大家分享一下如何利用LyScript实现应用层钩子扫描器的相关知识点,内容详细,逻辑清晰,相信大部分人都还太了解这方面的知识,所以分享这篇文章给大家参考一下,希望大家阅读完这篇文章后有所收获,下面我们一起来了解一下吧。
要实现应用层钩子扫描,我们需要得到程序内存文件的机器码以及磁盘中的机器码,并通过capstone这个第三方反汇编引擎,对两者进行反汇编,最后逐条对比汇编指令,实现进程钩子扫描的效果。
通过LyScript插件读取出内存中的机器码,然后交给第三方反汇编库执行,并将结果输出成字典格式。
#coding: utf-8 import binascii,os,sys import pefile from capstone import * from LyScript32 import MyDebug # 得到内存反汇编代码 def get_memory_disassembly(address,offset,len): # 反汇编列表 dasm_memory_dict = [] # 内存列表 ref_memory_list = bytearray() # 读取数据 for index in range(offset,len): char = dbg.read_memory_byte(address + index) ref_memory_list.append(char) # 执行反汇编 md = Cs(CS_ARCH_X86,CS_MODE_32) for item in md.disasm(ref_memory_list,0x1): addr = int(pe_base) + item.address dasm_memory_dict.append({"address": str(addr), "opcode": item.mnemonic + " " + item.op_str}) return dasm_memory_dict if __name__ == "__main__": dbg = MyDebug() dbg.connect() pe_base = dbg.get_local_base() pe_size = dbg.get_local_size() print("模块基地址: {}".format(hex(pe_base))) print("模块大小: {}".format(hex(pe_size))) # 得到内存反汇编代码 dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) print(dasm_memory_list) dbg.close()
效果如下:
我们将文件反汇编也写一下,然后让其对比,这样就可以实现扫描内存与文件中的汇编指令是否一致。
#coding: utf-8 import binascii,os,sys import pefile from capstone import * from LyScript32 import MyDebug # 得到内存反汇编代码 def get_memory_disassembly(address,offset,len): # 反汇编列表 dasm_memory_dict = [] # 内存列表 ref_memory_list = bytearray() # 读取数据 for index in range(offset,len): char = dbg.read_memory_byte(address + index) ref_memory_list.append(char) # 执行反汇编 md = Cs(CS_ARCH_X86,CS_MODE_32) for item in md.disasm(ref_memory_list,0x1): addr = int(pe_base) + item.address dic = {"address": str(addr), "opcode": item.mnemonic + " " + item.op_str} dasm_memory_dict.append(dic) return dasm_memory_dict # 反汇编文件中的机器码 def get_file_disassembly(path): opcode_list = [] pe = pefile.PE(path) ImageBase = pe.OPTIONAL_HEADER.ImageBase for item in pe.sections: if str(item.Name.decode('UTF-8').strip(b'\x00'.decode())) == ".text": # print("虚拟地址: 0x%.8X 虚拟大小: 0x%.8X" %(item.VirtualAddress,item.Misc_VirtualSize)) VirtualAddress = item.VirtualAddress VirtualSize = item.Misc_VirtualSize ActualOffset = item.PointerToRawData StartVA = ImageBase + VirtualAddress StopVA = ImageBase + VirtualAddress + VirtualSize with open(path,"rb") as fp: fp.seek(ActualOffset) HexCode = fp.read(VirtualSize) md = Cs(CS_ARCH_X86, CS_MODE_32) for item in md.disasm(HexCode, 0): addr = hex(int(StartVA) + item.address) dic = {"address": str(addr) , "opcode": item.mnemonic + " " + item.op_str} # print("{}".format(dic)) opcode_list.append(dic) return opcode_list if __name__ == "__main__": dbg = MyDebug() dbg.connect() pe_base = dbg.get_local_base() pe_size = dbg.get_local_size() print("模块基地址: {}".format(hex(pe_base))) print("模块大小: {}".format(hex(pe_size))) # 得到内存反汇编代码 dasm_memory_list = get_memory_disassembly(pe_base,0,pe_size) dasm_file_list = get_file_disassembly("d://win32project1.exe") # 循环对比内存与文件中的机器码 for index in range(0,len(dasm_file_list)): if dasm_memory_list[index] != dasm_file_list[index]: print("地址: {:8} --> 内存反汇编: {:32} --> 磁盘反汇编: {:32}". format(dasm_memory_list[index].get("address"),dasm_memory_list[index].get("opcode"),dasm_file_list[index].get("opcode"))) dbg.close()
此处如果一致,则说明没有钩子,如果不一致则输出,这里的输出结果不一定准确,此处只是抛砖引玉。
以上就是“如何利用LyScript实现应用层钩子扫描器”这篇文章的所有内容,感谢各位的阅读!相信大家阅读完这篇文章都有很大的收获,小编每天都会为大家更新不同的知识,如果还想学习更多的知识,请关注亿速云行业资讯频道。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。