- 博客(6)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 06 - pyrebox的所有API
Pyrebox APIclass api.BP(addr, pgd, size=0, typ=0, func=None)用于创建执行类断点,内存读取类断点和内存写入类断点的类__init__(addr, pgd, size=0, typ=0, func=None) 断点类的构造器参数:addr(int):我们想要设置断点的(起始)地址pgd(int):我们想要设置断点的PGD或...
2018-09-05 21:16:44
462
原创 05 - 恶意软件监视器
恶意软件监视器是一组pyrebox脚本,用于在分析恶意软件的时候自动提取有用的信息。另外,它通过分析恶意软件样本如何部署它的主要操作(即,解包、进程注入、进程挖空、丢弃文件、下载文件等)来帮助分析人员分析恶意软件的第一阶段。而且,它还会收集各种类型的信息来丰富IDB数据库,这些类型的信息可以导入到IDA中。它由几个模块组成,可以通过编辑一个json文件来停用、激活和配置这些模块。每个模...
2018-09-04 11:02:38
536
1
原创 04 - pyrebox Guest Agent
agent的用途是虚拟机和主机之间传输文件和执行文件和虚拟机之间的通信是通过无效的操作码(invalid opcodes)Windows 可以在guest/win文件夹下找到windows的Guest Agent 编译Guest Agent 可能需要安装mingw-w64包,比如在Ubuntu或Debian上:apt-get install gcc-mingw-...
2018-09-04 11:01:54
531
原创 03 - pyrebox中编写脚本
官方示例在scripts文件夹下,示例的说明已经很详细了pyrebox脚本功能:给pyrebox环境定义新的命令 定义回调函数(会在每个受监视进程的不同事件发生时调用的函数) 给回调函数增加触发器 使用pyrebox提供的python API允许: 查询进程、模块 查询symbols(API名字解析) 读取和操作寄存器和内存 启动shell 利用volatility...
2018-09-04 11:00:39
354
原创 02 - pyrebox shell
Shell 环境基础 有两种不同的shell环境,一个是QEMU,另一个是pyrebox的shell。 启动虚拟机后,先启动的就是QEMU,然后键入sh进入shell环境。shell环境中列出所有命令的命令是:%list_commands 列出所有pyrebox的命令,包括用户自定义在动态加载的脚本里的命令 %list_vol_commands 列出所有volat...
2018-09-02 16:42:44
278
原创 01 - pyrebox基础信息
What:pyrebox是一个python可编程的逆向工程沙箱 Why:为什么使用pyrebox使用简单,提供了一套命令来检查或者修改正在运行的虚拟机的状态 使用QEMU支持多系统,集成了volatility 用pyrebox调试系统(或特定进程)相当隐蔽,和传统的调试器完全不一样。传统调试器会存在在被调试的系统中,升职修改调试进程的内存来插入断点;而pyrebox完全留...
2018-09-02 16:41:50
346
web前端常用代码
2015-07-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人