qiling

Qiling의 usecase, 블로그 및 관련 작업

Qiling은 다음과 같은 기능을 갖춘 고급 이진 에뮬레이션 프레임 워크입니다.

• 멀티 플랫폼 에뮬레이션 : Windows, MacOS, Linux, Android, BSD, UEFI, DOS, MBR, Ethereum Virtual Machine
• 다중 아키텍처 에뮬레이션 : 8086, X86, X86_64, ARM, ARM64, MIPS, RISCV, PowerPC
• 여러 파일 형식 지원 : PE, Macho, Elf, Com, MBR
• Demigod를 통한 Windows Driver (.Sys), Linux 커널 모듈 (.KO) 및 MacOS 커널 (.kext) 지원
• 고립 된 환경에서 모방 및 샌드 박스 코드
• 완전히 구성 가능한 샌드 박스를 제공합니다
• 심층 메모리, 레지스터, OS 레벨 및 파일 시스템 레벨 API 제공
• 미세 곡물 계측 : 다양한 레벨의 고리를 허용합니다 (명령/기본 블록/메모리 액세스/예외/Syscall/IO 등)
• 현재 실행 상태 저장 및 복원과 같은 가상 머신 레벨 API 제공
• 교차 아키텍처 및 플랫폼 디버깅 기능을 지원합니다
• 리버스 디버깅 기능이있는 내장 디버거
• 로드 된 라이브러리를 포함하여 Dynamic Hotpatch On-Fly 실행 코드가 허용됩니다.
• Python의 True Framework, 상단에 맞춤형 보안 분석 도구를 쉽게 구축 할 수 있습니다.

Qiling은 또한 다양한 국제 회의로 향했습니다.

2022 :

• 검은 모자, EU
• 검은 모자, mea

2021 :

• 미국 블랙 모자, 미국
• 상자에 해킹, 암스테르담
• 블랙 모자, 아시아

2020 :

• 블랙 모자, 유럽
• 미국 블랙 모자, 미국
• Black Hat, USA (Demigod)
• 블랙 모자, 아시아
• 상자에 해킹, 잠금 001
• 상자에 해킹, 잠금 002
• 사이버 주 (Cyberweek) 상자에 해킹
• 널콘

2019 년

• 미국, 미국
• 히콘
• Zeronights

Qiling은 유니콘 엔진으로 뒷받침됩니다.

자세한 내용은 웹 사이트 https://www.quiling.io를 방문하십시오.

이 프로젝트는 무료 소프트웨어 라이센스 GPLV2 및 이후 버전으로 출시 및 배포됩니다.

오픈 소스 에뮬레이터가 많이 있지만 Qiling과 가장 가까운 두 프로젝트는 Unicorn & Qemu Usermode입니다. 이 섹션에서는 Qiling의 주요 차이점에 대해 설명합니다.

유니콘 위에 지어졌지만 Qiling & Unicorn은 두 개의 다른 동물입니다.

• 유니콘은 CPU 에뮬레이터 일뿐 아니라 에뮬레이터 메모리를 이해할 수있는 CPU 지침을 모방하는 데 중점을 둡니다. 그 외에도 유니콘은 동적 라이브러리, 시스템 호출, I/O 처리 또는 PE, Macho 또는 ELF와 같은 실행 가능한 형식과 같은 높은 수준의 개념을 알지 못합니다. 결과적으로 유니콘은 운영 체제 (OS) 컨텍스트없이 원시 기계 지침 만 모방 할 수 있습니다.
• Qiling은 유니콘을 활용하여 CPU 지침을 모방하지만 OS를 이해할 수있는 더 높은 수준의 프레임 워크로 설계되었습니다. 현재 실행 가능한 형식 로더 (PE, Macho & Elf의 경우), 동적 링커 (공유 라이브러리를로드 및 재배치 할 수 있음), SYSCALL 및 IO 핸들러가 있습니다. 이러한 이유로 Qiling은 기본 OS를 필요로하지 않고 실행 가능한 바이너리를 실행할 수 있습니다.

QEMU Usermode는 우리의 에뮬레이터와 비슷한 일을합니다. 그러나 Qiling은 QEMU usermode에 대해 몇 가지 중요한 차이점을 제공합니다.

• Qiling은 진정한 분석 프레임 워크로, 우호적 인 파이썬 언어로 자신의 동적 분석 도구를 구축 할 수 있습니다. 한편 QEMU는 프레임 워크가 아닌 도구 일뿐입니다
• Qiling은 동적 계측을 수행 할 수 있으며 런타임에서도 핫 패치 코드도 할 수도 있습니다. QEMU도하지 않습니다
• 교차 아키텍처 작동뿐만 아니라 Qiling은 크로스 플랫폼이므로 예를 들어 Windows 위에서 Linux ELF 파일을 실행할 수 있습니다. 대조적으로, QEMU usermode는 에뮬레이션 된 코드에서 기본 OS로 SYSCALL을 전달하는 방식으로 인해 Linux의 Linux ELF와 같은 동일한 OS의 바이너리 만 실행합니다.
• Qiling은 Windows, MacOS, Linux & BSD를 포함한 더 많은 플랫폼을 지원합니다. QEMU Usermode는 Linux & BSD 만 처리 할 수 ​​있습니다

Qiling Framework를 설치하는 방법은 설정 가이드 파일을 참조하십시오.

• 아래의 예는 Windows 실행 파일을 모방하기 위해 가장 강력한 방식으로 Qiling 프레임 워크를 사용하는 방법을 보여줍니다.

 from qiling import Qiling

if __name__ == "__main__" :
    # initialize Qiling instance, specifying the executable to emulate and the emulated system root.
    # note that the current working directory is assumed to be Qiling home
    ql = Qiling ([ r'examples/rootfs/x86_windows/bin/x86_hello.exe' ], r'examples/rootfs/x86_windows' )

    # start emulation
    ql . run ()

• 다음 예제는 Windows CrackMe가 어떻게 동적으로 패치되어 어떻게 "축하"대화 상자를 표시하도록하는 방법을 보여줍니다.

 from qiling import Qiling

def force_call_dialog_func ( ql : Qiling ):
    # get DialogFunc address from current stack frame
    lpDialogFunc = ql . stack_read ( - 8 )

    # setup stack memory for DialogFunc
    ql . stack_push ( 0 )
    ql . stack_push ( 1001 )     # IDS_APPNAME
    ql . stack_push ( 0x111 )    # WM_COMMAND
    ql . stack_push ( 0 )

    # push return address
    ql . stack_push ( 0x0401018 )

    # resume emulation from DialogFunc address
    ql . arch . regs . eip = lpDialogFunc


if __name__ == "__main__" :
    # initialize Qiling instance
    ql = Qiling ([ r'rootfs/x86_windows/bin/Easy_CrackMe.exe' ], r'rootfs/x86_windows' )

    # NOP out some code
    ql . patch ( 0x004010B5 , b' x90 x90 ' )
    ql . patch ( 0x004010CD , b' x90 x90 ' )
    ql . patch ( 0x0040110B , b' x90 x90 ' )
    ql . patch ( 0x00401112 , b' x90 x90 ' )

    # hook at an address with a callback
    ql . hook_address ( force_call_dialog_func , 0x00401016 )
    ql . run ()

아래 YouTube 비디오는 위의 예제가 어떻게 작동하는지 보여줍니다.

• QILING 프레임 워크 핫 패치 및 ARM 라우터/USR/BIN/HTTPD X86_64BIT UBUNTU에서 모방합니다.

• 이 비디오는 Qiling의 Idapro 플러그인이 Qiling Instrumentation Engine으로 Idapro를 실행할 수있는 방법을 보여줍니다.

• Qiling Framework 및 Idapro로 간단한 CTF 챌린지 해결

• QILING 프레임 워크 MBR

Qiling은 또한 qltool 이라는 친근한 도구를 제공하여 Shellcode 및 실행 가능한 바이너리를 신속하게 모방합니다.

qltool을 사용하면 쉽게 실행할 수 있습니다.

Shellcode와 함께 :

 $ ./qltool code --os linux --arch arm --format hex -f examples/shellcodes/linarm32_tcp_reverse_shell.hex

이진 파일로 :

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --rootfs  examples/rootfs/x8664_linux/

이진 및 GDB 디버거를 사용하여 활성화

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --gdb 127.0.0.1:9999 --rootfs examples/rootfs/x8664_linux

코드 커버리지 컬렉션 (현재 UEFI 만) :

 $ ./qltool run -f examples/rootfs/x8664_efi/bin/TcgPlatformSetupPolicy --rootfs examples/rootfs/x8664_efi --coverage-format drcov --coverage-file TcgPlatformSetupPolicy.cov

JSON 출력 (주로 Windows) :

 $ ./qltool run -f examples/rootfs/x86_windows/bin/x86_hello.exe --rootfs  examples/rootfs/x86_windows/ --console False --json

웹 사이트 https://www.quiling.io에서 최신 정보를 얻으십시오

이메일 [email protected] 또는 Twitter @Qiling_io 또는 Weibo를 통해 당사에 문의하십시오.

Credits.md를 참조하십시오