qiling

Qilingのユーザー、ブログ、および関連する作品

Qilingは、次の機能を備えた高度なバイナリエミュレーションフレームワークです。

• マルトプラットフォームのエミュレート：Windows、MacOS、Linux、Android、BSD、UEFI、DOS、MBR、Ethereum Virtual Machine
• エミュレートマルチアーキテクチャ：8086、X86、X86_64、ARM、ARM64、MIPS、RISCV、PowerPC
• 複数のファイル形式のサポート：PE、MACHO、ELF、COM、MBR
• Demigod経由でWindows Driver（.Sys）、Linuxカーネルモジュール（.ko）＆macosカーネル（.kext）をサポート
• 孤立した環境でコードをエミュレートします
• 完全に構成可能なサンドボックスを提供します
• 詳細なメモリ、レジスタ、OSレベル、ファイルシステムレベルAPIを提供します
• 細粒の計装：さまざまなレベルのフックを許可します（命令/基本ブロック/メモリアクセス/例外/syscall/io/etc）
• 保存して現在の実行状態を復元するなど、仮想マシンレベルAPIを提供します
• クロスアーキテクチャとプラットフォームのデバッグ機能をサポートします
• 逆デバッグ機能を備えた内蔵デバッガー
• ロードされたライブラリを含む、動的ホットパッチオンザフライランニングコードを許可します
• Pythonの真のフレームワーク、カスタマイズされたセキュリティ分析ツールを上に簡単に構築できます

Qilingは、さまざまな国際会議にも道を譲りました。

2022：

• ブラックハット、EU
• 黒い帽子、mea

2021：

• ブラックハット、アメリカ
• アムステルダムの箱の中のハック
• 黒い帽子、アジア

2020：

• ブラックハット、ヨーロッパ
• ブラックハット、アメリカ
• ブラックハット、アメリカ（デミゴッド）
• 黒い帽子、アジア
• ボックスのハック、ロックダウン001
• ハックインザボックス、ロックダウン002
• Cyber​​Week、Box In the Box
• nullcon

2019：

• Defcon、米国
• ヒットコン
• ゼロナイト

QilingはUnicorn Engineに支えられています。

詳細については、当社のウェブサイトhttps://www.qiling.ioをご覧ください。

このプロジェクトは、フリーソフトウェアライセンスGPLV2および後のバージョンでリリースおよび配布されます。

多くのオープンソースエミュレーターがありますが、Qiilingに最も近い2つのプロジェクトはUnicornとQemu Usermodeです。このセクションでは、それらに対するQilingの主な違いについて説明します。

ユニコーンの上に構築されていますが、Qiling＆Unicornは2つの異なる動物です。

• Unicornは単なるCPUエミュレーターであるため、エミュレータメモリを理解できるCPU命令のエミュレートに焦点を当てています。それを超えて、Unicornは、動的ライブラリ、システムコール、I/Oハンドリング、PE、Macho、ELFなどの実行可能な形式などのより高いレベルの概念を認識していません。その結果、ユニコーンはオペレーティングシステム（OS）のコンテキストなしで、生の機械命令のみをエミュレートすることができます
• Qilingは、Unicornを活用してCPU命令をエミュレートするが、OS：実行可能なフォーマットローダー（現時点ではPE、Macho、ELF用）、動的リンカー（共有ライブラリをロードおよび再配置できます）、Syscall、IOハンドラーを理解することができる、より高いレベルのフレームワークとして設計されています。このため、QilingはネイティブOSを必要とせずに実行可能なバイナリを実行できます

Qemu Usermodeは、エミュレータ、つまり、編み芸術の方法で実行可能なバイナリ全体をエミュレートすることです。ただし、QILINGはQemu Usermodeに対していくつかの重要な違いを提供します。

• Qilingは真の分析フレームワークであり、最上部に独自の動的分析ツールを構築できます（フレンドリーなPython言語）。一方、Qemuは単なるツールであり、フレームワークではありません
• Qilingは動的な計装を実行でき、実行時にホットパッチコードを実行できます。 Qemuもしません
• クロスアーキテクチャが動作するだけでなく、Qilingもクロスプラットフォームであるため、たとえば、Windowsの上でLinux Elfファイルを実行できます。対照的に、Qemu Usermodeは、syscallをエミュレートコードからネイティブOSに転送する方法により、Linux上のLinux Elfなど、同じOSのバイナリのみを実行します。
• Qilingは、Windows、MacOS、Linux、BSDなど、より多くのプラットフォームをサポートしています。 Qemu UsermodeはLinuxとBSDのみを処理できます

Qiling Frameworkのインストール方法については、セットアップガイドファイルを参照してください。

• 以下の例は、Windows実行可能ファイルをエミュレートするために、最も厳格な方法でQiilingフレームワークを使用する方法を示しています。

 from qiling import Qiling

if __name__ == "__main__" :
    # initialize Qiling instance, specifying the executable to emulate and the emulated system root.
    # note that the current working directory is assumed to be Qiling home
    ql = Qiling ([ r'examples/rootfs/x86_windows/bin/x86_hello.exe' ], r'examples/rootfs/x86_windows' )

    # start emulation
    ql . run ()

• 次の例は、Windows Crackmeに動的にパッチを適用して、「おめでとう」ダイアログを常に表示する方法を示しています。

 from qiling import Qiling

def force_call_dialog_func ( ql : Qiling ):
    # get DialogFunc address from current stack frame
    lpDialogFunc = ql . stack_read ( - 8 )

    # setup stack memory for DialogFunc
    ql . stack_push ( 0 )
    ql . stack_push ( 1001 )     # IDS_APPNAME
    ql . stack_push ( 0x111 )    # WM_COMMAND
    ql . stack_push ( 0 )

    # push return address
    ql . stack_push ( 0x0401018 )

    # resume emulation from DialogFunc address
    ql . arch . regs . eip = lpDialogFunc


if __name__ == "__main__" :
    # initialize Qiling instance
    ql = Qiling ([ r'rootfs/x86_windows/bin/Easy_CrackMe.exe' ], r'rootfs/x86_windows' )

    # NOP out some code
    ql . patch ( 0x004010B5 , b' x90 x90 ' )
    ql . patch ( 0x004010CD , b' x90 x90 ' )
    ql . patch ( 0x0040110B , b' x90 x90 ' )
    ql . patch ( 0x00401112 , b' x90 x90 ' )

    # hook at an address with a callback
    ql . hook_address ( force_call_dialog_func , 0x00401016 )
    ql . run ()

以下のYouTubeビデオは、上記の例がどのように機能するかを示しています。

• Qiling Frameworkホットパッチとエミュレートアームルーター/usr/bin/httpd on x86_64bit ubuntu

• このビデオは、QilingのIdaproプラグインがQiiling Instrumentation EngineでIdaproを実行する方法を示しています

• QILINGフレームワークとIdaproで簡単なCTFチャレンジを解決する

• QILINGフレームワークはMBRをエミュレートします

Qilingは、シェルコードと実行可能バイナリをすばやくエミュレートするためのqltoolという名前のフレンドリーなツールも提供します。

qltoolを使用すると、簡単に実行できます。

シェルコードで：

 $ ./qltool code --os linux --arch arm --format hex -f examples/shellcodes/linarm32_tcp_reverse_shell.hex

バイナリファイルを使用：

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --rootfs  examples/rootfs/x8664_linux/

バイナリとGDBのデバッガーを有効にする：

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --gdb 127.0.0.1:9999 --rootfs examples/rootfs/x8664_linux

コードカバレッジコレクション（今のところUEFIのみ）：

 $ ./qltool run -f examples/rootfs/x8664_efi/bin/TcgPlatformSetupPolicy --rootfs examples/rootfs/x8664_efi --coverage-format drcov --coverage-file TcgPlatformSetupPolicy.cov

JSON出力（主にWindows）：

 $ ./qltool run -f examples/rootfs/x86_windows/bin/x86_hello.exe --rootfs  examples/rootfs/x86_windows/ --console False --json

当社のWebサイトhttps://www.qiling.ioから最新情報を入手してください

メールinfo @qiling.io、またはtwitter @qiling_ioまたはweiboでお問い合わせください

credits.mdを参照してください