基于 unicorn 的 IDA 轻量级插件 uEmu 模拟执行汇编代码

最新推荐文章于 2024-08-26 08:45:14 发布
最新推荐文章于 2024-08-26 08:45:14 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: 逆向与二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song_lee/article/details/104741316
版权

关于 unicorn engine 的相关知识以及开发,可访问笔者之前所写的博客

0x10 uEmu 简介

uEmu 是一个小巧智能的 IDA 模拟器插件,基于unicorn engine,支持以下几种架构开箱即用

  • x86 (x86-64)
  • ARM (ARM 64)
  • MIPS (MIPS 64)

Please welcome: Tiny cute emulator plugin for IDA based on @unicorn_engine
Supports x86/x64/ARM/ARM64https://t.co/0dJC4foWkK pic.twitter.com/UHKDBKC4MX 1

— Alex Hude (@getorix) August 8, 2017

在这里插入图片描述

uEmu 模拟裸机代码(不需要任何操作系统支持的底层代码)的执行,比如启动引导、嵌入式固件等;也可以模拟单一函数的执行。使用 uEmu 的目的是

  • 模拟复杂的内核代码,如动态链接库和进程
  • 模拟复杂的系统调用

uEmu 项目地址:https://github.com/alexhude/uEmu 2


0x20 使用方式

1.安装 unicorn 的 python 版本

pip install unicorn -i https://pypi.mirrors.ustc.edu.cn/simple/

2.将uEmu下载下来,使用 File/Script file...ALT+F7 在IDA中加载uEmu.py

如果这里提示 IDA 弹出窗口,还没有 unicorn 包,这多半是因为 Windows 安装了多个版本的 python,而 IDA 加载的 python 版本跟系统环境变量设置的版本有所差别,我们根据 IDA 的 Output 窗口的提示信息,修改相应的环境变量,重新 pip 安装一下 unicorn 即可。

在这里插入图片描述
插件加载成功的截图如下
在这里插入图片描述
菜单选项

  • Start 映射所有段并设置Unicorn来初始化模拟器
  • Run 模拟指令,直到遇到断点或发生错误
  • Step 模拟一条或者 n 条指令(按住ALT/ OPTION指定一个数字)
  • Stop 终止模拟/仿真
  • Reset 重置 unicorn 引擎并取消映射的所有内存区域
  • Jump To PC 简单跳转到当前 PC
  • 可以手动或通过 JSON 文件更新 CPU(请参见下文)
  • Show Controls 显示 Start/Run/Step/Stop 按钮
  • Show CPU Context 显示寄存器
  • Show CPU Extended Context 显示扩展寄存器 (FP/SIMD)
  • Show Stack 显示当前栈
  • Show Memory Range 显示特定的内存区域

使用方式很简单,在 IDA 反汇编窗口,右击,选择 uEmu 即可。

  1. https://firmwaresecurity.com/2017/08/08/uemu-unicorn-based-emulator-plugin-for-ida/ ↩︎

  2. https://github.com/alexhude/uEmu ↩︎

爬虫逆向:Unicorn 详细使用指南
数据知道的博客
03-13 3559
Unicorn 是一个轻量级的 CPU 模拟器框架,支持多种架构(如 ARM、x86、MIPS 等)。它常用于逆向工程、漏洞分析和恶意软件分析。以下是 Unicorn 的详细使用指南。Unicorn 是一个强大的 CPU 模拟器框架,适合用于逆向工程和漏洞分析。通过掌握其基本和高级功能,可以高效地模拟和分析二进制代码
Python-uEmu是一款基于unicorn引擎的IDA的可爱仿真插件
08-12
uEmu是一款基于unicorn引擎的IDA的可爱仿真插件
sk3wldbg:由 Unicorn 引擎支持的 IDA Pro 调试器插件
08-04
警告:此代码非常原始,并且可能有很多错误! 介绍 这是 IDA Pro 的 Sk3wlDbg 插件。 它的目的是提供一个前端,用于使用 Unicorn Engine 来模拟您正在使用 IDA 查看的机器代码。 该插件安装为 IDA 调试器,您可以在打开包含 Unicorn 支持的代码IDA 数据库时选择该调试器。 目前支持的架构包括: x86 x86-64 手臂 ARM64 MIPS MIPS64 空间研究中心 SPARC64 M68K 建造: 该插件依赖于 Unicorn 引擎。 IDA 6.x 及更早版本(7.0 之前)是作为 32 位二进制文​​件构建的。 如果您正在使用这些版本的 IDA 之一,您必须拥有适用于您的 IDA 平台(Windows、Linux、OS X)的 Unicorn 库的 32 位版本。 如果您使用的是 IDA 7.0 或更高版本,您必须拥
探秘 uEmu:一款强大的 ARM 汇编代码模拟
gitblog_00065的博客
04-10 885
探秘 uEmu:一款强大的 ARM 汇编代码模拟器 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源的、高效的 ARM 架构汇编代码模拟器,由 AlexHude 创建并维护。该项目旨在提供一个详尽的、可扩展的平台,用于测试和理解 ARM 指令集在实际环境中的行为。它不仅对开发者有吸引力,也是教育和研究领域的一把利器。 技术分析 uEmu 的核心是其高度精确的 ...
利用UnicornIdaemu辅助解决Geekpwn SecretCode
weixin_30898109的博客
10-01 426
在前面的些文章里,我提到了怎么交叉编译Unicorn-engine,以及在windows上使用Unicorn python bindings进行分析程序。这一次我介绍下如何使用Unicorn-engine和Idaemu来解决一个ollvm混淆的android逆向,也就是Geekpwn SecretCode 150。 拿到题目,java的代码很简单,用户输入一个数字,程序调用nat...
IDA插件uEmu模拟执行
mengxp的博客
06-25 1205
1.安装unicorn for python cd c:\python27-x64\Scripts pip install unicorn -i https://pypi.mirrors.ustc.edu.cn/simple/ 2.下载释放 uEmu https://github.com/alexhude/uEmu 3.在IDA工程中 Alt + F7加载 uemu.py (File/Script files...) 4.加载成功后 output window 会有 uEmu 版本信息 5
基于unicorn-engine的虚拟机的实现(WxSpectre)
weixin_33963189的博客
06-16 378
反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检测样本恶意行为,因为它相对virualbox+cuckoo更加的轻巧,节省资源。所以还是有很高的价值的。正因为其高效性与复杂性,现在公开这方面的资料很少。 一、虚拟机vs模拟器 对于恶意样本分析领域,...
ASM Shell 基于 Unicorn 的强大汇编器命令行工具
gitblog_00060的博客
05-26 378
ASM Shell 基于 Unicorn 的强大汇编器命令行工具 asm-cliInteractive shell of assembly language(X86/X64) based on unicorn and keystone项目地址:https://gitcode.com/gh_mirrors/as/asm-cli 1、项目介绍 ASM Shell 是一个基于 Unicorn Engi...
cpp-基于Unicorn和LibFuzzer的模拟执行fuzzing
08-16
基于Unicorn和LibFuzzer的模拟执行fuzzing
基于Unicorn-Engine的开源Windows可执行文件沙盒实现解析.pdf
08-08
目 录 1.虚拟化软件的比较以及各自的特点. 2.unicorn-engine介绍. 3.Hack unicorn-engine. 4.wxemu的设计不实现. 5.wxemu 的功能 6.Demo. 7.目前存在缺点不计划.
Python-uEmu: 探索基于unicorn引擎的IDA仿真插件
标题和描述提到的"Python-uEmu"是一款基于"unicorn引擎"的IDA仿真插件。为了详细解析这一知识点,我们首先要了解几个核心概念:Python、IDAunicorn引擎和仿真插件。 首先,Python是一种广泛使用的高级编程语言,...
用python编写第一个IDA插件的实例
12-25
IDA插件是经过编译的、功能更强大的IDC脚本,与仅仅使用脚本相比,插件能够执行更加复杂的任务。与编写IDC脚本相比,python显得更为轻巧和强大,IDAPython作为IDA的一个插件,具有IDA SDK的大部分功能,能够帮助我们编写实现IDC脚本语言所有功能的python脚本。 本文将以一个简单的例子开始展示如何使用python编写并安装一个IDA插件。 1、编写插件文件msg.py from idaapi import * class myIdaPlugin(plugin_t): flags=0 wanted_name="my ida plugin" wanted_hotkey
unicorn_pe:Unicorn PE是基于独角兽的检测项目,旨在模拟Windows PE文件的代码执行
05-14
Unicorn PE是基于的工具项目/框架,旨在模拟Windows PE文件(尤其是打包文件)的代码执行。 特征 将PE映像从emu内存中转储到文件中,修复导入表,解密VMProtect字符串,解密VMProtect导入。 对异常的部分支持。 ...
跨平台模拟执行unicorn框架基于Qemu的TCG模式(Tiny_Code_Generator),
最新发布
09-02
Unicorn框架是一个轻量级的多架构CPU模拟框架,它支持x86, ARM等多种架构,被广泛用于二进制代码的分析和执行Unicorn与QEMU结合使用时,可以利用QEMU的TCG模式来进行代码的动态编译和执行,进而提升执行效率。...
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 754
使用模拟执行批量解密堆栈字符串 ida flare-emu
探索μEmu:无硬件依赖的通用MCU固件模拟
gitblog_00069的博客
06-23 510
探索μEmu:无硬件依赖的通用MCU固件模拟器 去发现同类优质开源项目:https://gitcode.com/ 项目简介 μEmu是一个创新的微控制器单元(MCU)固件模拟器,它在不依赖任何硬件的情况下实现动态分析。通过将固件图像作为输入,并使用符号执行来代表未知外设寄存器,μEmu能够自动推断对外设访问的响应规则。这些规则存储在一个知识库(KB)中,允许在动态分析过程中直接参考该库,无需实际硬...
使用 Unicorn Engine 模拟执行二进制代码片段
个人笔记
03-07 5359
http://eternal.red/2018/unicorn-engine-tutorial/
使用Unicorn Engine绕过混淆完成算法的调用
zhangmiaoping23的专栏
08-12 3026
最近在研究用Unicorn Engine调用SO时,发现网上的资料很少,并且没有一个完整的调用实例。所以我把自己做的发出来跟大家分享,共同学习进步。 下面开始: 一、我们的目的 以上一串字符串中vf字段为标红部分的signature。该算法在libmcto_media_player.so+0x249BC8处。如果是Android端调用的话很简单,我们编写一个loader调用该函...
Unicorn Engine 文档教程
gitblog_00929的博客
08-26 350
Unicorn Engine 文档教程 Unicorn-Engine-DocumentationOfficial Unicorn CPU emulator framework API documentation项目地址:https://gitcode.com/gh_mirrors/un/Unicorn-Engine-Documentation 项目介绍 Unicorn Engine 是一个轻量级...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江下枫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值