02 - pyrebox shell

最新推荐文章于 2021-01-02 14:02:13 发布
最新推荐文章于 2021-01-02 14:02:13 发布
阅读量281 收藏
点赞数
分类专栏: 安全 pyrebox 文章标签: pyrebox
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dmbjzhh/article/details/82316756
版权

Shell 环境基础

 

有两种不同的shell环境,一个是QEMU,另一个是pyrebox的shell。

 

启动虚拟机后,先启动的就是QEMU,然后键入sh进入shell环境。

shell环境中列出所有命令的命令是:

  • %list_commands
    • 列出所有pyrebox的命令,包括用户自定义在动态加载的脚本里的命令
  • %list_vol_commands
    • 列出所有volatility的命令
  • 所有命令都可以选择用%开头,也可以不用

 

脚本可以定义新的自定义命令,要运行自定义的命令需要键入%custom后面接着命令名字和该命令需要的参数

 

运行volatility的命令,需要键入%vol后面接着volatility的命令和参数;

pyrebox支持volatility插件扩展,只需要放到pyrebox目录中对应的volatility文件夹中

 

退出shell,可以键入quit、q、c、continue或直接ctrl-d

 

一些IPython特性

 

  • 按tab自动补全命令
  • ``CPU``对象:用sh启动一个新的shell时,CPU状态将作为一个名叫cpu的对象公开,这样可以检索cpu中每个寄存器的状态
  • pyrebox命令支持嵌入python代码:可以使用IPython的变量扩展功能(比如$和{ })来实现运行pyrebox命令时嵌入python代码,比如:bpr {hex(cpu.ESP - 0x10)}:0x20,将放置一个内存读取断点在当前的堆栈指针(ESP)周围内存中。{}符号之间的表达式将被解释为python代码
  • 列出可用对象。键入%who查看;除了cpu对象外,任何在IPython解释器中创建的变量将会被保留用于以后的会话
  • 获得关于命令或者API相关的帮助:键入help(command * | * api_function)或者command? | api_function?(问号后缀),就可以获取对象的文档;比如help(api)

 

QEMU环境下的命令

  • sh
  • import_module:导入一个pyrebox脚本或者模块
  • list_module
  • unload_module:卸载
  • reload_module:重新加载

 

shell环境下的命令

 

约定:

  1. 为了使用虚拟地址,直接使用十六进制地址,比如说0x7c871235;指定物理地址的方式:p0x00100000
  2. 涉及引用虚拟地址的命令需要处理进程上下文。使用proc命令可以将进程上下文设置成一个指定的正在运行的进程,可以通过进程全名(或部分名字)或PGD或者PID来指定进程

 

shell操作命令:

  • list_commands
  • list_vol_commands
  • vol comm:键入一个volatility命令
  • custom comm:键入一个自定义的命令
  • proc:给指定进程指定工作上下文,可以通过PID、CR3或者(部分)名字来指定。后续虚拟地址将引用该进程
  • mon:监控一个进程,许多事件只会被受监控的进程触发
  • unmon:停止监控进程
  • set_cpu:设置要操作的CPU编号(如果给QEMU配置了多个CPU的话)
  • quit、q、c、continue或直接ctrl-d:退出shell并且继续执行虚拟机
  • help(api | comm)或者api? | comm?:获得帮助文档

 

断点,当遇到断点的时候启动shell:

  • bd:禁用断点,breakpoint disable
  • bl:列出断点,breakpoint list
  • be:启用现有断点,enable existing breakpoint
  • bp:在一个地址处设置断点。该命令接受虚拟地址、物理地址和API名字,还接受一段内存范围(例如每当执行某些内存范围内的指令时中断)
  • bpr:在内存读取时设置断点,和bp类似,但是只在读取指定地址或者内存范围时触发
  • bpw:在内存写入时设置断点,和bp类似,但是只在写入指定地址或内存范围时触发

 

检查类指令:

  • ps:列出所有运行进程
  • lm:列出指定进程的模块,通过pid、名字或cr3指定进程。或者直接指定0、System或kernel来列出所有的内核模块

 

机器状态检查和操作:

  • print_cpu:展示CPU
  • dis:在PC中反汇编现在正在运行的进程
  • u:反汇编一个给定的地址
  • db,dw,dd,dq:在内存中展示byte、word、dword、qword数据
  • dump:显示内存中任意大小的数据
  • eb,ew,ed,eq:覆盖内存中byte、word、dword、qword数据,可以用HEX、ANSI字符串和Unicode字符串
  • write:覆盖内存中任意大小的数据,可以用HEX、ANSI字符串和Unicode字符串
  • r:展示或操控一个寄存器,看help里
  • ior[b | w | d]:读取io端口地址(byte、word、dword)
  • iow[b | w | d]:写入io端口地址(byte、word、dword)

 

标志:

  • ln:列出距离给定地址最近的symbols(API)
  • x:列出一个symbol(API)的地址。可以使用子串和通配符,格式为modulename!api,可以指定其中的一个或者都指定

 

其他:

  • strings:显示给定内存区域中的字符串
  • s:在给定的内存区域中搜索串(hex、ASCII或Unicode字符串)
  • savevm:保存虚拟机快照,需要指定快照的名字,名字要求是不带单引号的数字或字符串,比如:savevm 1或者savevm my_snapshot
  • loadvm:加载一个虚拟机快照,要求同上
dmbjzhh
关注
专栏目录
pyreboxPython脚本化的反向工程沙箱,基于QEMU的虚拟机检测和检查框架
02-25
PyREBoxPython脚本化的反向工程沙箱。 它基于QEMU,其目标是通过提供不同角度的动态分析和调试功能来帮助进行逆向工程。 通过在python中创建简单的脚本来自动执行任何类型的分析,PyREBox可以检查正在运行的QEMU VM,修改其内存或寄存器并检测其执行情况。 QEMU(作为一个整体系统仿真器时)模拟一个完整的系统(CPU,内存,设备...)。 通过使用VMI技术,它不需要对来宾操作系统进行任何修改,因为它在运行时从其内存中透明地检索信息。 诸如 , , 或类的一些学术项目以前都利用基于QEMU的仪器来克服逆向工程任务。 这些项目允许使用C / C ++编写插件,并实现一些高级功能,例如动态污点分析,符号执行,甚至记录和重放执行轨迹。 借助PyREBox,我们旨在将这项技术的应用重点放在保持设计简单以及威胁分析人员对系统的可用性上。 PyREBox在2017年赢得了
01 - pyrebox基础信息
dmbjzhh的专栏
09-02 349
  What: pyrebox是一个python可编程的逆向工程沙箱   Why:为什么使用pyrebox 使用简单,提供了一套命令来检查或者修改正在运行的虚拟机的状态 使用QEMU支持多系统,集成了volatility 用pyrebox调试系统(或特定进程)相当隐蔽,和传统的调试器完全不一样。传统调试器会存在在被调试的系统中,升职修改调试进程的内存来插入断点;而pyrebox完全留...
00 - pyrebox安装和使用
dmbjzhh的专栏
07-23 1162
测试pyrebox能否完整支持volatility的功能 PyREBox是一个Python可脚本化逆向工程沙箱。它基于QEMU,其目标是通过从不同角度提供动态分析和调试功能,从而协助逆向工程。 PyREBox允许用python创建简单的脚本来自动化任何类型的分析,从而检查正在运行中的QEMU VM,修改其内存或寄存器,并指示其执行。QEMU (作为一个完整的系统仿真器工作时) 模拟完整的系统 ...
Python-PyREBox一个Python可脚本化的逆向工程沙箱
08-10
它基于QEMU,其目标是通过从不同的角度提供动态分析和调试功能来帮助逆向工程。 PyREBox允许通过在python中创建简单的脚本来自动执行任何类型的分析,来检查正在运行的QEMU VM,修改其内存或寄存器,并对其执行进行调整。
Practran-crx插件
03-19
快速的关键字翻译通过点击基于谷歌翻译 ^^英语 快速的关键字翻译基于谷歌翻译。 #设置: Tou必须访问扩展选项页面并正确设置您的语言。 网址:chrome-extension://cbibmddmbjkomkpcaclakmgflkeghcnb/options/options.html #Usag到: 1-“按Ctrl +点击”或“按Ctrl +选择”您的关键字/句子将不会翻译 2-点击任何地方完成 #帮助发展: 该https://github.com/ilgooz/practr ^^土耳其语 一键快速词翻译工具,从谷歌翻译提供。 #Ay是: 你绝对应该去插件设置页面,并正确设置语言设置。 地址:chrome-extension://cbibmddmbjkomkpcaclakmgflkeghcnb/options/options.html #用途: 1-对要翻译的单词或单词组应用“ctrl + click”或“ctrl + select” 2-点击任何地方关闭对话窗口 #帮助改善: 该https://github.com/ilgooz/practr 支持语言:English
CMSmap - WordPress Shell
03-24
CMSmap - WordPress Shell,是一款专为wordpress框架漏洞而设计的shell程序。它可以直接连接目标网站,以绕过一些安全措施,并利用漏洞获取目标网站的权限。需要注意的是,未经双方同意使用CMSmap攻击目标是非法的。...
spark-shell启动
04-28
本文档详细的介绍了spark的shell启动命令,具体细节等要求
mysql-shell-8.0.30-linux-glibc2.12-x86-64bit.tar.gz
08-17
在标题提及的"mysql-shell-8.0.30-linux-glibc2.12-x86-64bit.tar.gz"文件中,我们获取的是适用于Linux系统(glibc2.12版本)的64位MySQL Shell版本8.0.30,这是MySQL数据库8.0系列的一个重要组件。 MySQL 8.0相较...
letter-shell
最新发布
01-10
压缩包"letter-shell-master"很可能是项目的完整源码仓库,包含Makefile、C/C++源代码文件、配置文件等。开发者需要具备C/C++编程基础,了解STM32的HAL库或LL库,以及基本的嵌入式系统知识,才能有效地利用这个项目...
k-shell分解算法
05-25
K-shell 分解方法给出了节点重要性的一种粗粒化的划分。 其基本思想如下,假设边缘节点的 K-shell值为 1,然后往内一层层进入网络的核心,先去除网络 中度值等于 1 的所有节点以及连边。 若剩下的节点里面,仍有度值...
07 - 运行pyrebox mw_monitor的api tracer的步骤
dmbjzhh的专栏
10-24 376
pyrebox.conf中有一个mw_monitor.mw_monitor: False的参数,将其设为True 将mw_monitor/config_examples中的两个配置文件复制到pyrebox.conf所在的文件夹下 将生成的500MB的数据库文件deviare32_populated.sqlite替换掉原有的50MB的mw_monitor/third_party/dev...
04 - pyrebox Guest Agent
dmbjzhh的专栏
09-04 535
agent的用途是虚拟机和主机之间传输文件和执行文件 和虚拟机之间的通信是通过无效的操作码(invalid opcodes) Windows   可以在guest/win文件夹下找到windows的Guest Agent   编译Guest Agent   可能需要安装mingw-w64包,比如在Ubuntu或Debian上: apt-get install gcc-mingw-...
03 - pyrebox中编写脚本
dmbjzhh的专栏
09-04 357
官方示例在scripts文件夹下,示例的说明已经很详细了 pyrebox脚本功能: 给pyrebox环境定义新的命令 定义回调函数(会在每个受监视进程的不同事件发生时调用的函数) 给回调函数增加触发器 使用pyrebox提供的python API允许: 查询进程、模块 查询symbols(API名字解析) 读取和操作寄存器和内存 启动shell 利用volatility...
pyrebox安装和使用
xiaoyaGrace的博客
12-02 285
测试pyrebox能否完整支持volatility的功能 PyREBox是一个Python可脚本化逆向工程沙箱。它基于QEMU,其目标是通过从不同角度提供动态分析和调试功能,从而协助逆向工程。 PyREBox允许用python创建简单的脚本来自动化任何类型的分析,从而检查正在运行中的QEMU VM,修改其内存或寄存器,并指示其执行。QEMU...
volatility 基本用法
热门推荐
xuqi7
10-22 1万+
volatility---基本用法 Keyword: forensic 取证 官网: https://www.volatilityfoundation.org/ github地址: https://github.com/volatilityfoundation/volatility wiki: https://github.com/volatilityfoundation/volatility/wiki
进入已经打开的pyrebox_001讲——进入PS世界的钥匙
weixin_36303462的博客
01-02 120
Hi!初次见面,我是野生派PS小课堂的23,很高兴能和大家相遇!当你点开这篇推文,你就已经站在了PS世界的大门前了,相信你现在的心情一定很兴奋吧!准备好一起进入PS的世界了吗?从这里开始,23我会带领着你,陪你一起在PS的世界里闯关打怪兽,一起在PS的世界里遨游~想要进入PS的世界,我们首先要对PS这位新朋友稍作了解,然后学会进入PS世界的“钥匙“的用法。所以今天这节课,我会给大家介绍一...
python仿真脚本_PyREBox-可用Python编写脚本逆向工程沙盒.PDF
weixin_39525313的博客
12-11 204
2017 年7 月17 日,星期一PyREBox - 可用Python 编写脚本的逆向工程沙盒作者:Xabier Ugarte Pedrero在Talos ,我们不断努力提高我们自身的研究和威胁情报能力。因此,我们不仅利用标准工具进行分析,而且专注于创新,开发独有技术来应对新的挑战。此外,Talos 一直以来都支持开源项目,并开放了目前我们工作流程中使用的很多不同项目和工具的源代码(如FIRST ...
06 - pyrebox的所有API
dmbjzhh的专栏
09-05 464
Pyrebox API class api.BP(addr, pgd, size=0, typ=0, func=None) 用于创建执行类断点,内存读取类断点和内存写入类断点的类 __init__(addr, pgd, size=0, typ=0, func=None) 断点类的构造器 参数: addr(int):我们想要设置断点的(起始)地址 pgd(int):我们想要设置断点的PGD或...
进入已经打开的pyrebox_PyREBox-可用Python编写脚本的逆向工程沙盒
weixin_28789303的博客
12-24 142
QEMU,其目的是通过从不同的角度提供动态分析和调试功能,来帮助实施逆向工程。PyREBox可以检查正在运行的QEMU虚拟机(VM),修改其内存或寄存器,并使用简单的Python脚本监测其执行情况。QEMU(当作为整个系统仿真程序时)可以模拟完整的系统(CPU、内存、设备…)。通过使用虚拟机内省(VMI)技术,它不需要对访客操作系统进行任何修改,因为它可以在运行时透明地从内存中检索信息。有多个学术...
pair-truncated shell-model
03-29
The pair-truncated shell model is a theoretical model used to describe the structure of atomic nuclei. It is a modification of the shell model, which is based on the concept of nuclear shells, or ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值