QEMU
,其目的是通过从不同的角度提供动态分析和调试功能,来帮助实施逆向工程。
PyREBox
可以检查正在运行的
QEMU
虚拟机
(VM)
,修改其内存或寄存器,并使用简单的
Python
脚本监测其执行情况。
QEMU
(当作为整个系统仿真程序时)可以模拟完整的系统
(
CPU
、内存、设备…)。通过使用虚拟机内省
(VMI)
技术,它不需要对访客操作系统进行
任何修改,因为它可以在运行时透明地从内存中检索信息。
有多个学术项目(如
DECAF
、
PANDA
、
S2E
或
AVATAR
)之前就已将基于
QEMU
的监测
用于逆向工程任务。这些项目允许使用
C/C++
语言编写插件,并实施了多个高级功能,例如
动态污点分析、符号执行,甚至包括记录和重放执行轨迹。借助
PyREBox
,我们致力于通过
此技术保持简单的设计,使系统满足威胁分析师的需求。
目标
•
提供一个完整的系统仿真平台,使其具备用于检查仿真访客系统的简单接口:对系统
事件进行精细监测。
o
基于
Volatility
的虚拟机内省
(VMI)
。访客无需安装代理或驱动程序。
o
一个基于
IPython
的外壳接口。
o
一个基于
Python
的脚本引擎,允许利用基于此语言的任何安全工具(构成最
大的生态系统之一)。