Angr学习(2)

最新推荐文章于 2024-11-04 16:00:00 发布
最新推荐文章于 2024-11-04 16:00:00 发布
阅读量315 收藏
点赞数 2
分类专栏: Angr 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/109154022
版权

学习Angr的进一步用法

Block:块

将二进制文件用Project进行装载后,Project对象可以通过Block来查看文件的代码块

>>> p.factory.block(p.entry).pp
<bound method Block.pp of <Block for 0x400610, 41 bytes>>//Block的起始位置,以及有多少个字节
>>> a = p.factory.block(p.entry)
>>> a.pp()
0x400610:	xor	ebp, ebp
0x400612:	mov	r9, rdx
0x400615:	pop	rsi
0x400616:	mov	rdx, rsp
0x400619:	and	rsp, 0xfffffffffffffff0
0x40061d:	push	rax
0x40061e:	push	rsp
0x40061f:	mov	r8, 0x400900
0x400626:	mov	rcx, 0x400890
0x40062d:	mov	rdi, 0x4007e8
0x400634:	call	0x4005d0//在遇见跳转指令前停下,然后上面就是一个代码块
>>> a.instructions
11//有多少条指令
>>> a.instruction_addrs
[4195856L, 4195858L, 4195861L, 4195862L, 4195865L, 4195869L, 4195870L, 4195871L, 4195878L, 4195885L, 4195892L]//每条指令的起始地址,可以根据这个算出长度
>>> for i in range(12):
...     a = p.factory.block(p.entry + i)
...     a.pp()
...     print('-------')
... 
0x400610:	xor	ebp, ebp
0x400612:	mov	r9, rdx
0x400615:	pop	rsi
0x400616:	mov	rdx, rsp
0x400619:	and	rsp, 0xfffffffffffffff0
0x40061d:	push	rax
0x40061e:	push	rsp
0x40061f:	mov	r8, 0x400900
0x400626:	mov	rcx, 0x400890
0x40062d:	mov	rdi, 0x4007e8
0x400634:	call	0x4005d0
-------
0x400611:	in	eax, dx//如果不确定好代码入口地址就会出现指令错误
0x400612:	mov	r9, rdx
0x400615:	pop	rsi
0x400616:	mov	rdx, rsp
0x400619:	and	rsp, 0xfffffffffffffff0
0x40061d:	push	rax
0x40061e:	push	rsp
0x40061f:	mov	r8, 0x400900
0x400626:	mov	rcx, 0x400890
0x40062d:	mov	rdi, 0x4007e8
0x400634:	call	0x4005d0
-------
0x400612:	mov	r9, rdx
0x400615:	pop	rsi
0x400616:	mov	rdx, rsp
0x400619:	and	rsp, 0xfffffffffffffff0
0x40061d:	push	rax
0x40061e:	push	rsp
0x40061f:	mov	r8, 0x400900
0x400626:	mov	rcx, 0x400890
0x40062d:	mov	rdi, 0x4007e8
0x400634:	call	0x4005d0
-------
>>> a.vex
IRSB <0x1e bytes, 7 ins., <Arch AMD64 (LE)>> at 0x40061b//也能把汇编代码转换成为VEX IR
>>> print(a.vex)
IRSB {
   t0:Ity_I32 t1:Ity_I32 t2:Ity_I32 t3:Ity_I64 t4:Ity_I64 t5:Ity_I64 t6:Ity_I64 t7:Ity_I64 t8:Ity_I64 t9:Ity_I64 t10:Ity_I64 t11:Ity_I64 t12:Ity_I64 t13:Ity_I64 t14:Ity_I64 t15:Ity_I32 t16:Ity_I64 t17:Ity_I32 t18:Ity_I64 t19:Ity_I64 t20:Ity_I64 t21:Ity_I64 t22:Ity_I64 t23:Ity_I64 t24:Ity_I64 t25:Ity_I64 t26:Ity_I64 t27:Ity_I64 t28:Ity_I64 t29:Ity_I64 t30:Ity_I64 t31:Ity_I64

   00 | ------ IMark(0x400610, 2, 0) ------//这个应该是对应的汇编代码的地址
   01 | PUT(rbp) = 0x0000000000000000//一一对比发现还是很好懂的
   02 | ------ IMark(0x400612, 3, 0) ------
   03 | t21 = GET:I64(rdx)
   04 | PUT(r9) = t21
   05 | PUT(pc) = 0x0000000000400615
   06 | ------ IMark(0x400615, 1, 0) ------
   07 | t4 = GET:I64(rsp)
   08 | t3 = LDle:I64(t4)
   09 | t22 = Add64(t4,0x0000000000000008)
   10 | PUT(rsi) = t3
   11 | ------ IMark(0x400616, 3, 0) ------
   12 | PUT(rdx) = t22
   13 | ------ IMark(0x400619, 4, 0) ------
   14 | t5 = And64(t22,0xfffffffffffffff0)
   15 | PUT(cc_op) = 0x0000000000000014
   16 | PUT(cc_dep1) = t5
   17 | PUT(cc_dep2) = 0x0000000000000000
   18 | PUT(pc) = 0x000000000040061d
   19 | ------ IMark(0x40061d, 1, 0) ------
   20 | t8 = GET:I64(rax)
   21 | t24 = Sub64(t5,0x0000000000000008)
   22 | PUT(rsp) = t24
   23 | STle(t24) = t8
   24 | PUT(pc) = 0x000000000040061e
   25 | ------ IMark(0x40061e, 1, 0) ------
   26 | t26 = Sub64(t24,0x0000000000000008)
   27 | PUT(rsp) = t26
   28 | STle(t26) = t24
   29 | ------ IMark(0x40061f, 7, 0) ------
   30 | PUT(r8) = 0x0000000000400900
   31 | ------ IMark(0x400626, 7, 0) ------
   32 | PUT(rcx) = 0x0000000000400890
   33 | ------ IMark(0x40062d, 7, 0) ------
   34 | PUT(rdi) = 0x00000000004007e8
   35 | PUT(pc) = 0x0000000000400634
   36 | ------ IMark(0x400634, 5, 0) ------
   37 | t28 = Sub64(t26,0x0000000000000008)
   38 | PUT(rsp) = t28
   39 | STle(t28) = 0x0000000000400639
   40 | t30 = Sub64(t28,0x0000000000000080)
   41 | ====== AbiHint(0xt30, 128, 0x00000000004005d0) ======
   NEXT: PUT(rip) = 0x00000000004005d0; Ijk_Call
}
>>> a = p.factory.block(p.entry)
>>> print(a.capstone)
0x400610:	xor	ebp, ebp//同样也能调用capstone反汇编引擎,十分方便
0x400612:	mov	r9, rdx
0x400615:	pop	rsi
0x400616:	mov	rdx, rsp
0x400619:	and	rsp, 0xfffffffffffffff0
0x40061d:	push	rax
0x40061e:	push	rsp
0x40061f:	mov	r8, 0x400900
0x400626:	mov	rcx, 0x400890
0x40062d:	mov	rdi, 0x4007e8
0x400634:	call	0x4005d0

State:状态

project对象只表示一个程序的“初始镜像”,当你用angr执行程序的时候,你实际操作的是一个代表程序的模拟状态(simulated program state)的特定对象——一个Simstate。

>>> a = p.factory.entry_state()
>>> a
<SimState @ 0x400610>
>>> state.regs.rip//可以通过regs命令来查看寄存器的值
<BV64 0x400610>
>>> state.regs.rax
<BV64 0x1c>
>>> state.regs.ax
<BV16 0x1c>
>>> state.mem[p.entry].int.resolved//也能通过mem来直接查看内存中的值
<BV32 0x8949ed31>
>>> state.mem[p.entry].byte.resolved
<BV8 49>

然后这里面获得的值都是位向量,如果要转化为int类型还要用到自带的claripy库

>>> state.solver.eval(state.regs.rip)
4195856L
>>> hex(state.solver.eval(state.regs.rip))
'0x400610L'

同样mem接口还支持对文件内存的修改

>>> state.mem[0x5000].short = 0x1234
>>> state.mem[0x5002].int = 0x12345678
>>> state.mem[0x5006].long = 0x1234567887654321
>>> state.mem[0x5000].short.resolved
<BV16 0x1234>
>>> state.mem[0x5002].int.resolved
<BV32 0x12345678>
>>> state.mem[0x5006].long.resolved
<BV64 0x1234567887654321>

使用array[index]符号来指定一个地址。
使用type来指定一个内存应该被作为什么类型的数据处理(常用类型:char,short,long,size_t,uint8_t,uint16_t……)
存储一个值到内存中,可以是一个位向量也可以是一个python整型
使用.resolved以位向量的形式获取内存中的值
使用.concrete以python整型的形式获取内存中的值

Analyses:分析器

分析器就是分析程序执行的流程啥的,比如CFGAccurate算法和CFGFast算法

>>> cfg = p.analyses.CFGFast()
..........
>>> cfg
<CFGFast Analysis Result at 0x7fb8e80bd2d0>
>>> cfg.graph
<networkx.classes.digraph.DiGraph object at 0x7fb8e6402a90>
>>> cfg.graph.nodes()
NodeView((<CFGNode 0x200e15cL[13]>, <CFGNode 0x200b000L[8]>,.........
>>> len(cfg.graph)
13651

能看到程序的节点和长度。想把图打出来的。。但是试了下networkx模块一直报错。。

0xwangliang
关注
专栏目录
angr中文文档-高级话题-中间表示
随便记记笔记
08-30 915
有一些不太好理解,或者不太好翻译的地方,就会把英文原文也留下来,后续再慢慢理解。如果有一些见解或者错误欢迎提出和指正。 简介 除了经典的 x86 外,angr 为了能够分析和执行来自不同 CPU 架构(MIPS,ARM 等)的机器代码,在中间表示上执行大部分分析。中间表示是对每条 CPU 指令的基本操作的结构化描述。通过了解 angr 的 IR,VEX(从 Valgrind 借鉴的),能够编写非常快速的静态分析并更好的了解 angr 的工作原理。 在处理不同架构时,VEX IR 抽象出几个架构的差异,允.
angr学习【1】
weixin_39219503的博客
07-06 544
angr安装 python虚拟环境 安装python虚拟环境 pip install virtualenv pip install virtualenv wrapper 安装完成后,将如下命令写入~/.bashrc(linux)或者~/.bash_profile(OSX) export WORKON_HOME=your/python/env/path source /path/to/virtualenvwrapper.sh   创建虚拟环境 mkvirtualenv angr 推出虚拟环境 deact
二进制分析工具angr的使用学习(1)
逆向随笔
04-18 2933
参考文章: Angr:一个具有动态符号执行和静态分析的二进制分析工具 1. angr安装-linux 安装依赖 sudo apt-get install python-dev libffi-dev build-essential virtualenvwrapper 安装angr mkvirtualenv angr && pip install angr 出现错误...
Angr入门(一)
qq_44370676的博客
08-16 3467
Angr初探
angr理论笔记(二)solver engine
weixin_46521144的博客
09-02 529
solver engine 简介 angr的威力不在于模拟执行,而在于将输入抽象为符号,通过将符号(也就是静态或者全局变量的名称,局部变量在编译过程中不具有符号)以及符号的运行过程抽象为语法树,判断输出结果。就像z3的工作一样。我们在这一章中需要解决的问题是: 我知道输出XXX所需要的操作序列是ABCD,那么我的输入应该是多少 bit vector bit vector可以说是模拟了c语言中对于整数的解析方式。例如将int转换为32bit的储存形式。称作bit-vector 当然32位不是必须的,任意位
Angr学习笔记
派大星的博客
03-15 608
angr是一个用于分析二进制文件的python框架。它专注于静态和符号分析,使其适用于各种任务。项目地址:https://github.com/angr今天简单练习了angr_ctf的前六道题,感觉angr比我想象中的要强大,但是使用angrangr实际上是一种路径探索的方法,在处理分支时,采取统统收集的策略,因此每当遇见一个分支,angr的路径数量就会乘2,这是一种指数增长,也就是所说的路径爆炸。执行上很像BFS,一旦分支过多,angr
Angr学习(一)
WateranFire的博客
08-07 2721
以前只是简单套用angr模板来解一些简单的题目,现在希望能深入了解一下angr, 所以做个记录。 注意,本文不是直接翻译,而会根据个人感觉进行删减! 本文主要参考自https://docs.angr.io/ =========================================================== 下面是一些小tips,可以跳过。 angr的调试信息记录 i...
angr 学习笔记
sky123博客
04-26 1641
附件,参考1,参考2 符号执行原理 基本概念 即初始参数用变量代替,模拟程序执行过程,维护执行到各个位置时的状态(用各个变量之间的代数关系表示)。 符号状态(Symbolic State) 当前状态所有参数的集合,用 σσσ 表示。集合中的每个元素用表示初始参数的变量表示。 路径约束(Path Constraint) 到达当前路径需要表示初始参数满足的关系,通常用 PC 表示。 例如下面的程序: #include <bits/stdc++.h> using namespace std;
逆向angr学习
苗_的博客
10-06 1328
坑是迟早要填的.... 前言 angr 是一个基于符号执行和模拟执行的二进制框架,可以用在很多的场景,比如逆向分析,漏洞挖掘等。 符号执行简单来说就是用符号来模拟程序执行,在我看来就相当于暴力破解,比如一个程序要求你进行一个复杂的运算,每次动态调试只能输入一次,然而符号执行可以尽可能的遍历每一条路径,这样就方便了许多。 ...
Angr_Tutorial_For_CTF:ctf的angr教程
04-30
我根据此幻想教程 , 和,使用此git repo记录了我对angr学习经验。 非常感谢他们。 我希望我能继续一段时间并在将来熟悉angr。 安装 我使用pypy以更快的方式运行angr。 这是我的安装说明。 conda create -n angr...
符号执行angr解ctf逆向题组
12-28
在`angr_ctf-master`这个压缩包中,你可能会找到一些示例代码、测试用例和CTF题目,这些都是学习`angr`符号执行的好资源。通过深入学习和实践这些材料,你将能够熟练地运用`angr`解决各种逆向工程问题,提高你在CTF...
angr-doc:Angr套件的文档
04-29
如果您想学习如何使用它,那么您来对地方了! 我们试图使angr尽可能轻松地使用-我们的目标是创建一个用户友好的二进制分析套件,使用户可以简单地启动iPython并使用几个命令轻松地执行密集的二进制分析。 话虽这么...
CTF 逆向工具angr学习笔记
lifanxin的博客
09-14 4015
angr概述基本用法总结 概述   angr   简单介绍一下angr,借助官方的原话就是 – A powerful and user-friendly binary analysis platform!,一个功能强大且用户友好的二进制分析平台。这里主要总结一下使用angr解决ctf逆向题的一些用法和套路。   安装的话,大家可以直接使用pip安装,不过这里可能会遇到一个小坑。我在安装angr之前已经安装了pwntools,此时再安装angr,由于有一个依赖库两者需要的版本是不一样的,所以安装后导致pwnt
PHP不良事件上报系统源码,医院安全不良事件管理系统,基于 vue2+element+ laravel框架开发
m0_67098612的博客
11-04 210
不良事件上报系统通过 “事前的人员知识培训管理和制度落地促进”、“事中的事件上报和跟进处理”、 以及 “事后的原因分析和工作持续优化”,结合预存上百套已正在使用的模板,帮助医院从对护理事件、药品事件、医疗器械事件、医院感染事件、输血事件、意外事件、职业暴露事件、后勤保障事件、信息安全事件、消防事件、工程事件、质量安全事件等各类不良事件进行管理的软件。(跌倒事件,坠床事件,压疮事件,管路滑脱事件,给药差错事件,烧伤/烫伤事件,输液反应事件,病人走失事件,消毒供应事件,其他事件)
安全合规:沃尔玛自养号测评技术搭建要点
m0_61644681的博客
11-04 218
通过精细化的管理和运营,可以确保自养号体系的安全性和有效性,为卖家在沃尔玛平台上提升商品权重和销量提供有力支持。利用国外服务器在云端搭建安全终端,全面阻断沃尔玛平台对设备底层硬件参数的检测,确保账号操作无法被追踪至真实设备。为每个账号分配独立的虚拟环境,避免硬件参数的重复和关联。保持测评环境的更新与升级,确保硬件参数、IP地址、浏览器环境等信息的时效性和安全性。根据账号的活跃度和购买历史,灵活调整运营策略,确保账号行为的自然性。采用先进的指纹浏览器技术,结合隐私插件,为每个账号创建一个独立的浏览器环境。
ICT网络赛道安全考点知识总结4
m0_72765822的博客
11-04 452
RADIUS和HWTACACS协议通常都使用共享密钥对传输的用户信息进行加密,以确保安全传输。 用来封装EAP报文的RADIUS属性通常是"EAP-Message",它用于传输EAP认证过程中的消息。 LDAP的域名属性通常是"DC"(Domain Component),用于表示域名的组成部分。 BFD(Bidirectional Forwarding Detection)可以用于检测网络设备之间直连物理链路的双向转发路径的故障,但也可以用于检测其他类型的链路故障。 管理员为虚拟系统手工分配资源时,
安全软件开发框架(SSDF) 1.1:降低软件漏洞风险的建议》解读(四)
最新发布
daopuyun的博客
11-04 261
安全软件开发框架SSDF是由美国国家标准与技术研究院发布的关于安全软件开发的一组实践,帮助开发组织减少发布的软件中的漏洞数量,减少利用未检测到或未解决的漏洞的潜在影响,从根本上解决漏洞防止再次发生。以上是安全软件开发框架(SSDF)1.1版本中的软件保护部分的全部内容,后面会继续为大家整理可靠软件生产部分和漏洞响应部分,欢迎大家继续关注。(谢绝转载,更多内容可查看我的主页)
冷钱包与热钱包的差异 | 加密货币存储的安全方案
tusik68的博客
11-01 1280
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
python angr
08-25
Angr是一个开源的、用于动态分析的Python库,主要用于二进制文件的逆向工程和软件安全研究。它构建在PyClaripy和SimuVex之上,提供了一个高级的API来创建模拟器环境,支持函数级调试、内存分析、漏洞挖掘以及系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值