基础的unicorn模拟简介与库函数调用方案与代码实例

2024-04-12 17:04
文章标签 基础 代码 模拟 实例 简介 方案 函数调用 unicorn

本文主要是介绍基础的unicorn模拟简介与库函数调用方案与代码实例,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

运行环境:python
基本的导入:from unicorn import *

简介

1. unicorn对象的初始化:
UC = Uc(unicorn_const.UC_ARCH_X86,unicorn_const.UC_MODE_16)

Uc接收的二值分别指定将模拟的架构和程序位数。后续操作的寄存器(如rax、eax、ax之分别)请严格匹配程序位数。

2. 内存映射
# 基地址
BASE_ADDR = 0x0
# 内存
MEM_SIZE = 16 * 1024
UC.mem_map(BASE_ADDR, MEM_SIZE)

mem_map将为UC标记、分配一段“有效”的空间,超出这个空间的地址操作将可能报Invalid memory operation (UC_ERR_READ_UNMAPPED)错误。

3. 段初始化/内存写
BASE_ADDR = 0x0
MEM_SIZE = 16 * 1024
MEM = b'0' * MEM_SIZE
UC.mem_map(BASE_ADDR, MEM_SIZE)
UC.mem_write(BASE_ADDR, MEM)

这一段是内存分配的继续。unicorn并不会在map后对空间初始化。因此这里对其、对整段分配的内存空间用0覆写,避免可能存在的问题。
段分配前需要获取目标段的物理偏移和虚拟地址,请用PE软件如DIE查看。
代码:

RDATA_OFFSET = 0x6000
RDATA_LEN = 0x800
FILE = open(f".\\test.bin", "rb")
FILE.seek(RDATA_OFFSET)
RDATA = FILE.read(RDATA_LEN)
UC.mem_write(BASE_ADDR + RDATA_OFFSET, RDATA)
4. 堆栈分配

我一般是在代码段后追加一小段,或是将内存空间的末尾作为栈区。这里要注意,分配的堆栈空间可以相对自由,但要分配好sp寄存器的值。

    STACK = b'0' * 1024STACK_POINT = BASE_ADDR + CODE_LEN + 1024UC.reg_write(unicorn.x86_const.UC_X86_REG_SP, STACK_POINT)UC.mem_write(STACK_POINT, STACK)

同样,这里堆栈区进行了一次初始化。

5. 寄存器分配
STACK_POINT = BASE_ADDR + CODE_LEN + 1024
UC.reg_read(unicorn.x86_const.UC_X86_REG_IP)
UC.reg_write(unicorn.x86_const.UC_X86_REG_SP, STACK_POINT)

在引入了unicorn包后,调用寄存器常量可以用unicorn.x86_const.的方式,也可以直接:mips_const.UC_MIPS_REG_15
需要注意的是:
python包可能默认不包含riscv常量,需要自己引入

# Unicorn Python bindings, by Nguyen Anh Quynnh <aquynh@gmail.com>from . import arm_const, arm64_const, mips_const, sparc_const, m68k_const, x86_constfrom .unicorn_const import *from .unicorn import Uc, uc_version, uc_arch_supported, version_bind, debug, UcError, __version__
6. hook与trace
def trace(mu: Uc, address, size, data):md = cs.Cs(cs.CS_ARCH_X86, cs.CS_MODE_16)EIP = mu.reg_read(unicorn.x86_const.UC_X86_REG_EIP)CODE = [i for i in md.disasm(mu.mem_read(address, size), size)][0]print(">>> EIP : %x" % (EIP), CODE.mnemonic, CODE.op_str)

这是一个基本的unicorn trace回调函数模板。注意这里,这个是“trace”的回调函数模板。unicorn对于hook不同的情况,需要定制不同参数的回调函数。如:

    UC.hook_add(UC_HOOK_CODE, trace)  # hook每一步指令,单步traceUC.hook_add(UC_HOOK_MEM_FETCH_UNMAPPED, printf)def trace(mu: Uc, address, size, data):EIP = mu.reg_read(unicorn.x86_const.UC_X86_REG_EIP)CODE = [i for i in md.disasm(mu.mem_read(address, size), size)][0]print(">>> EIP : %x" % (EIP), CODE.mnemonic, CODE.op_str)def printf(mu: Uc, access, address, size, value, user_data):ESP = mu.reg_read(unicorn.x86_const.UC_X86_REG_ESP)# 这里的值是立即数VALUE = bytes(mu.mem_read(ESP + 8, 4))VALUE = int.from_bytes(VALUE, 'little')# 格式是指针,地址归属rdata段FORMAT = mu.mem_read(int.from_bytes(bytes(mu.mem_read(ESP + 4, 4)), 'little'), 4)# 检查是哪种格式if bytes(FORMAT)[0:2] == b'%d':print(">>> call print : %x" % (VALUE))# 从printf的调用处重新执行OLD_IP = mu.mem_read(ESP, 4)  # 获得返回地址OLD_IP = int.from_bytes(bytes(OLD_IP), 'little')mu.emu_stop()try:mu.emu_start(OLD_IP, 2 * 1024 * 1024)except UcError as e:print("ERROR: %s" % e)
7. 启动
    START = ADDRESS + 0x41Etry:UC.emu_start(START, 2 * 1024 * 1024)except UcError as e:print("ERROR ", e)

emu_start的第二个参数可以认为是执行的截止地址,可以匹配最终执行地址,也可以直接写到内存结束等error。

unicorn执行外部库函数

不建议用unicorn模拟调用外部函数的程序。
但如果实在要执行的话,这里有几个思路:
①使用pywin调用库函数,代替原函数。
②使用ctypes调用库函数,代替原函数。
③hook指定地址|trace时做检查。
④hook地址异常。

实例:

#include<stdio.h>int main(){int a,b;a = 1;b = 2;a += b;printf("%d",a);}

from unicorn import *def test():# 一些常量定义,感觉可以挪到全局ADDRESS = 0x400000CODE_LEN = 0x3200RDATA_LEN = 0x800RDATA_OFFSET = 0x6000MEM_SIZE = 4 * 1024 * 1024MEM = b'0' * MEM_SIZE# 读取目标程序FILE = open(f".\\test_1.exe", "rb")# 设置代码段UC = Uc(unicorn_const.UC_ARCH_X86, unicorn_const.UC_MODE_32)UC.mem_map(ADDRESS, MEM_SIZE)FILE.seek(0x400)CODE = FILE.read(CODE_LEN)UC.mem_write(ADDRESS, MEM)  # 对MEM空间进行初始化,空间管理严格的话这里其实也不用初始化UC.mem_write(ADDRESS, CODE)  # 写代码段# 设置RDATA段FILE.seek(0x3800)RDATA = FILE.read(RDATA_LEN)UC.mem_write(ADDRESS + RDATA_OFFSET, RDATA)# 设置栈区STACK = b'0' * 1024STACK_POINT = ADDRESS + CODE_LEN + 1024UC.reg_write(unicorn.x86_const.UC_X86_REG_ESP, STACK_POINT)UC.mem_write(STACK_POINT, STACK)# 设置hookUC.hook_add(UC_HOOK_CODE, trace)UC.hook_add(UC_HOOK_MEM_FETCH_UNMAPPED, printf)# 模拟执行START = ADDRESS + 0x41Etry:UC.emu_start(START, 2 * 1024 * 1024)except UcError as e:print("ERROR ", e)def trace(mu: Uc, address, size, data):EIP = mu.reg_read(unicorn.x86_const.UC_X86_REG_EIP)print(">>> EIP : %x" % (EIP))def printf(mu: Uc, access, address, size, value, user_data):ESP = mu.reg_read(unicorn.x86_const.UC_X86_REG_ESP)# 这里的值是立即数VALUE = bytes(mu.mem_read(ESP + 8, 4))VALUE = int.from_bytes(VALUE, 'little')# 格式是指针,地址归属rdata段FORMAT = mu.mem_read(int.from_bytes(bytes(mu.mem_read(ESP + 4, 4)), 'little'), 4)# 检查是哪种格式if bytes(FORMAT)[0:2] == b'%d':print(">>> call print : %x" % (VALUE))# 从printf的调用处重新执行OLD_IP = mu.mem_read(ESP, 4)  # 获得返回地址OLD_IP = int.from_bytes(bytes(OLD_IP), 'little')mu.emu_stop()try:mu.emu_start(OLD_IP, 2 * 1024 * 1024)except UcError as e:print("ERROR: %s" % e)if __name__ == "__main__":test()# 执行的代码:'''.text:0040141E C7 44 24 1C 01 00 00 00       mov     dword ptr [esp+1Ch], 1.text:00401426 C7 44 24 18 02 00 00 00       mov     dword ptr [esp+18h], 2.text:0040142E 8B 44 24 18                   mov     eax, [esp+18h].text:00401432 01 44 24 1C                   add     [esp+1Ch], eax.text:00401436 8B 44 24 1C                   mov     eax, [esp+1Ch].text:0040143A 89 44 24 04                   mov     [esp+4], eax.text:0040143E C7 04 24 44 60 40 00          mov     dword ptr [esp], offset Format  ; "%d".text:00401445 E8 7A 2A 00 00                call    _printf.text:00401445.text:0040144A B8 00 00 00 00                mov     eax, 0.text:0040144F C9                            leave.text:00401450 C3                            retn'''

在这里插入图片描述

这篇关于基础的unicorn模拟简介与库函数调用方案与代码实例的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/897723

相关文章

vscode保存代码时自动eslint格式化图文教程

vscode保存代码时自动eslint格式化图文教程

《vscode保存代码时自动eslint格式化图文教程》:本文主要介绍vscode保存代码时自动eslint格式化的相关资料,包括打开设置文件并复制特定内容,文中通过代码介绍的非常详细,需要的朋友... 目录1、点击设置2、选择远程--->点击右上角打开设置3、会弹出settings.json文件,将以下内
阅读更多...
MySQL分表自动化创建的实现方案

MySQL分表自动化创建的实现方案

《MySQL分表自动化创建的实现方案》在数据库应用场景中,随着数据量的不断增长,单表存储数据可能会面临性能瓶颈,例如查询、插入、更新等操作的效率会逐渐降低,分表是一种有效的优化策略,它将数据分散存储在... 目录一、项目目的二、实现过程(一)mysql 事件调度器结合存储过程方式1. 开启事件调度器2. 创
阅读更多...
SQL Server使用SELECT INTO实现表备份的代码示例

SQL Server使用SELECT INTO实现表备份的代码示例

《SQLServer使用SELECTINTO实现表备份的代码示例》在数据库管理过程中,有时我们需要对表进行备份,以防数据丢失或修改错误,在SQLServer中,可以使用SELECTINT... 在数据库管理过程中,有时我们需要对表进行备份,以防数据丢失或修改错误。在 SQL Server 中,可以使用 SE
阅读更多...
java图像识别工具类(ImageRecognitionUtils)使用实例详解

java图像识别工具类(ImageRecognitionUtils)使用实例详解

《java图像识别工具类(ImageRecognitionUtils)使用实例详解》:本文主要介绍如何在Java中使用OpenCV进行图像识别,包括图像加载、预处理、分类、人脸检测和特征提取等步骤... 目录前言1. 图像识别的背景与作用2. 设计目标3. 项目依赖4. 设计与实现 ImageRecogni
阅读更多...
Golang的CSP模型简介(最新推荐)

Golang的CSP模型简介(最新推荐)

《Golang的CSP模型简介(最新推荐)》Golang采用了CSP(CommunicatingSequentialProcesses,通信顺序进程)并发模型,通过goroutine和channe... 目录前言一、介绍1. 什么是 CSP 模型2. Goroutine3. Channel4. Channe
阅读更多...
python实现pdf转word和excel的示例代码

python实现pdf转word和excel的示例代码

《python实现pdf转word和excel的示例代码》本文主要介绍了python实现pdf转word和excel的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价... 目录一、引言二、python编程1,PDF转Word2,PDF转Excel三、前端页面效果展示总结一
阅读更多...
在MyBatis的XML映射文件中<trim>元素所有场景下的完整使用示例代码

在MyBatis的XML映射文件中<trim>元素所有场景下的完整使用示例代码

《在MyBatis的XML映射文件中<trim>元素所有场景下的完整使用示例代码》在MyBatis的XML映射文件中,trim元素用于动态添加SQL语句的一部分,处理前缀、后缀及多余的逗号或连接符,示... 在MyBATis的XML映射文件中,<trim>元素用于动态地添加SQL语句的一部分,例如SET或W
阅读更多...
Java操作ElasticSearch的实例详解

Java操作ElasticSearch的实例详解

《Java操作ElasticSearch的实例详解》Elasticsearch是一个分布式的搜索和分析引擎,广泛用于全文搜索、日志分析等场景,本文将介绍如何在Java应用中使用Elastics... 目录简介环境准备1. 安装 Elasticsearch2. 添加依赖连接 Elasticsearch1. 创
阅读更多...
使用C#代码计算数学表达式实例

使用C#代码计算数学表达式实例

《使用C#代码计算数学表达式实例》这段文字主要讲述了如何使用C#语言来计算数学表达式,该程序通过使用Dictionary保存变量,定义了运算符优先级,并实现了EvaluateExpression方法来... 目录C#代码计算数学表达式该方法很长,因此我将分段描述下面的代码片段显示了下一步以下代码显示该方法如
阅读更多...
Java中的Opencv简介与开发环境部署方法

Java中的Opencv简介与开发环境部署方法

《Java中的Opencv简介与开发环境部署方法》OpenCV是一个开源的计算机视觉和图像处理库,提供了丰富的图像处理算法和工具,它支持多种图像处理和计算机视觉算法,可以用于物体识别与跟踪、图像分割与... 目录1.Opencv简介Opencv的应用2.Java使用OpenCV进行图像操作opencv安装j
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2