หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

usecase บล็อกและงานที่เกี่ยวข้องของ Qiling

Qiling เป็นกรอบการจำลองแบบไบนารีขั้นสูงพร้อมคุณสมบัติดังต่อไปนี้:

  • เลียนแบบหลายแพลตฟอร์ม: Windows, MacOS, Linux, Android, BSD, UEFI, DOS, MBR, Ethereum Virtual Machine
  • เลียนแบบหลายสถาปัตยกรรม: 8086, x86, x86_64, ARM, ARM64, MIPS, RISCV, PowerPC
  • รองรับรูปแบบไฟล์หลายรูปแบบ: PE, Macho, Elf, COM, MBR
  • รองรับไดรเวอร์ Windows (.sys), Linux Kernel Module (.KO) และ MacOS Kernel (.KEXT) ผ่าน Demigod
  • เลียนแบบรหัสและรหัส Sandbox ในสภาพแวดล้อมที่แยกได้
  • จัดเตรียม Sandbox ที่กำหนดค่าได้อย่างสมบูรณ์
  • จัดเตรียมหน่วยความจำในเชิงลึกลงทะเบียนระดับ OS และ API ระดับระบบไฟล์
  • เครื่องมือวัดชั้นดี: อนุญาตให้ตะขอในระดับต่าง ๆ (คำสั่ง/พื้นฐานบล็อก/หน่วยความจำเข้าถึง/ข้อยกเว้น/syscall/io/etc)
  • ให้ API ระดับเครื่องเสมือนเช่นบันทึกและกู้คืนสถานะการดำเนินการปัจจุบัน
  • รองรับความสามารถในการแก้ไขสถาปัตยกรรมข้ามและแพลตฟอร์ม
  • ดีบั๊กในตัวพร้อมความสามารถในการดีบักย้อนกลับ
  • อนุญาตให้ใช้รหัสการทำงานแบบไดนามิกฮอตแพทช์แบบไดนามิกรวมถึงไลบรารีที่โหลด
  • Framework True ใน Python ทำให้ง่ายต่อการสร้างเครื่องมือวิเคราะห์ความปลอดภัยที่กำหนดเองด้านบน

Qiling ยังเดินทางไปสู่การประชุมนานาชาติต่างๆ

2022:

  • หมวกดำ, สหภาพยุโรป
  • หมวกดำ, mea

2021:

  • หมวกสีดำสหรัฐอเมริกา
  • แฮ็คในกล่องอัมสเตอร์ดัม
  • หมวกดำเอเชีย

2020:

  • หมวกดำ, ยุโรป
  • หมวกสีดำสหรัฐอเมริกา
  • Black Hat, USA (Demigod)
  • หมวกดำเอเชีย
  • แฮ็คในกล่องล็อค 001
  • แฮ็คในกล่องล็อค 002
  • แฮ็คในกล่อง Cyberweek
  • nullcon

2019:

  • defcon, สหรัฐอเมริกา
  • hitcon
  • Zeronights

Qiling ได้รับการสนับสนุนจากเครื่องยนต์ยูนิคอร์น

เยี่ยมชมเว็บไซต์ของเรา https://www.qiling.io สำหรับข้อมูลเพิ่มเติม

ใบอนุญาต

โครงการนี้ได้รับการเผยแพร่และแจกจ่ายภายใต้ใบอนุญาตซอฟต์แวร์ฟรี GPLV2 และรุ่นใหม่กว่า

Qiling vs emulators อื่น ๆ

มีอีมูเลเตอร์โอเพ่นซอร์สจำนวนมาก แต่สองโครงการที่อยู่ใกล้กับ Qiling มากที่สุดคือยูนิคอร์นและ QEMU USERMODE ส่วนนี้อธิบายถึงความแตกต่างหลักของ qiling กับพวกเขา

qiling vs unicorn engine

สร้างขึ้นบนยูนิคอร์น แต่ Qiling & Unicorn เป็นสัตว์สองตัวที่แตกต่างกัน

  • ยูนิคอร์นเป็นเพียงตัวจำลองซีพียูดังนั้นจึงมุ่งเน้นไปที่การเลียนแบบคำแนะนำ CPU ที่สามารถเข้าใจหน่วยความจำของอีมูเลเตอร์ นอกเหนือจากนั้นยูนิคอร์นไม่ได้ตระหนักถึงแนวคิดระดับที่สูงขึ้นเช่นไลบรารีแบบไดนามิกการโทรระบบการจัดการ I/O หรือรูปแบบการดำเนินการเช่น PE, Macho หรือ ELF เป็นผลให้ยูนิคอร์นสามารถเลียนแบบคำแนะนำของเครื่องดิบได้โดยไม่ต้องใช้บริบทระบบปฏิบัติการ (OS)
  • Qiling ได้รับการออกแบบให้เป็นเฟรมเวิร์กระดับที่สูงขึ้นซึ่งใช้ประโยชน์จากยูนิคอร์นเพื่อเลียนแบบคำสั่ง CPU แต่สามารถเข้าใจระบบปฏิบัติการได้: มันมีรูปแบบการทำงานที่สามารถเรียกใช้งานได้ (สำหรับ PE, Macho & Elf ในขณะนี้), Linkers แบบไดนามิก ด้วยเหตุนี้ Qiling จึงสามารถเรียกใช้ไบนารีแบบปฏิบัติการได้โดยไม่ต้องใช้ระบบปฏิบัติการดั้งเดิม
qiling vs qemu usermode

QEMU USERMODE ทำสิ่งที่คล้ายคลึงกับอีมูเลเตอร์ของเรานั่นคือการเลียนแบบไบนารีที่ปฏิบัติการได้ทั้งหมดในรูปแบบการสถาปัตยกรรม อย่างไรก็ตาม Qiling เสนอความแตกต่างที่สำคัญบางอย่างกับ QEMU USERMODE

  • Qiling เป็นกรอบการวิเคราะห์ที่แท้จริงที่ช่วยให้คุณสร้างเครื่องมือวิเคราะห์แบบไดนามิกของคุณเองที่ด้านบน (ในภาษา Python ที่เป็นมิตร) ในขณะเดียวกัน Qemu เป็นเพียงเครื่องมือไม่ใช่กรอบ
  • Qiling สามารถดำเนินการเครื่องมือแบบไดนามิกและสามารถใช้รหัสฮอตแพทช์ได้ที่รันไทม์ Qemu ไม่ได้ทำเช่นกัน
  • ไม่เพียง แต่การทำงานข้ามสถาปัตยกรรม Qiling ยังเป็นข้ามแพลตฟอร์มดังนั้นตัวอย่างเช่นคุณสามารถเรียกใช้ไฟล์ Linux Elf ที่ด้านบนของ Windows ในทางตรงกันข้าม QEMU USERMODE ใช้ไบนารีของระบบปฏิบัติการเดียวกันเท่านั้นเช่น Linux ELF บน Linux เนื่องจากวิธีการส่งต่อ SyScall จากรหัสที่จำลองไปยังระบบปฏิบัติการดั้งเดิม
  • Qiling รองรับแพลตฟอร์มเพิ่มเติมรวมถึง Windows, MacOS, Linux & BSD QEMU USERMODE สามารถจัดการ Linux & BSD ได้เท่านั้น

การติดตั้ง

โปรดดูไฟล์คู่มือการตั้งค่าสำหรับวิธีการติดตั้ง Qiling Framework

ตัวอย่าง

  • ตัวอย่างด้านล่างแสดงวิธีการใช้กรอบการทำงาน Qiling ในวิธีที่มีความสัมพันธ์กันมากที่สุดในการเลียนแบบ Windows ที่ปฏิบัติการได้ 
 from qiling import Qiling

if __name__ == "__main__" :
    # initialize Qiling instance, specifying the executable to emulate and the emulated system root.
    # note that the current working directory is assumed to be Qiling home
    ql = Qiling ([ r'examples/rootfs/x86_windows/bin/x86_hello.exe' ], r'examples/rootfs/x86_windows' )

    # start emulation
    ql . run ()
  • ตัวอย่างต่อไปนี้แสดงให้เห็นว่า windows crackme อาจถูกแก้ไขแบบไดนามิกเพื่อให้สามารถแสดงกล่องโต้ตอบ "ขอแสดงความยินดี" ได้เสมอ 
 from qiling import Qiling

def force_call_dialog_func ( ql : Qiling ):
    # get DialogFunc address from current stack frame
    lpDialogFunc = ql . stack_read ( - 8 )

    # setup stack memory for DialogFunc
    ql . stack_push ( 0 )
    ql . stack_push ( 1001 )     # IDS_APPNAME
    ql . stack_push ( 0x111 )    # WM_COMMAND
    ql . stack_push ( 0 )

    # push return address
    ql . stack_push ( 0x0401018 )

    # resume emulation from DialogFunc address
    ql . arch . regs . eip = lpDialogFunc


if __name__ == "__main__" :
    # initialize Qiling instance
    ql = Qiling ([ r'rootfs/x86_windows/bin/Easy_CrackMe.exe' ], r'rootfs/x86_windows' )

    # NOP out some code
    ql . patch ( 0x004010B5 , b' x90 x90 ' )
    ql . patch ( 0x004010CD , b' x90 x90 ' )
    ql . patch ( 0x0040110B , b' x90 x90 ' )
    ql . patch ( 0x00401112 , b' x90 x90 ' )

    # hook at an address with a callback
    ql . hook_address ( force_call_dialog_func , 0x00401016 )
    ql . run ()

วิดีโอ YouTube ด้านล่างแสดงวิธีการทำงานของตัวอย่างด้านบน

เลียนแบบเฟิร์มแวร์เราเตอร์แขนบนเครื่อง Ubuntu X64

  • qiling framework แพทช์ร้อนและจำลองแขนของเราเตอร์/usr/bin/httpd บน x86_64bit ubuntu

Qiling Tutorial: เลียนแบบและเฟิร์มแวร์เราเตอร์แขนเลียนแบบ

ปลั๊กอิน Idapro ของ Qiling: เครื่องมือและถอดรหัสความลับของ Mirai

  • วิดีโอนี้แสดงให้เห็นว่าปลั๊กอิน Idapro ของ Qiling สามารถทำให้ Idapro ทำงานได้อย่างไร

gdbserver พร้อม demo idapro

  • การแก้ปัญหา CTF อย่างง่ายด้วยกรอบการทำงานและ idapro

เลียนแบบ MBR

  • กรอบ Qiling Emulates MBR

การสาธิต Qiling: เลียนแบบ MBR

Qltool

Qiling ยังมีเครื่องมือที่เป็นมิตรชื่อ qltool เพื่อเลียนแบบ ShellCode & Conecutable Binaries อย่างรวดเร็ว

ด้วย qltool สามารถดำเนินการได้ง่าย:

ด้วย Shellcode: 

 $ ./qltool code --os linux --arch arm --format hex -f examples/shellcodes/linarm32_tcp_reverse_shell.hex

ด้วยไฟล์ไบนารี: 

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --rootfs  examples/rootfs/x8664_linux/

พร้อม Binary และ GDB Debugger เปิดใช้งาน: 

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --gdb 127.0.0.1:9999 --rootfs examples/rootfs/x8664_linux

พร้อมคอลเลกชันครอบคลุมรหัส (UEFI เท่านั้นตอนนี้): 

 $ ./qltool run -f examples/rootfs/x8664_efi/bin/TcgPlatformSetupPolicy --rootfs examples/rootfs/x8664_efi --coverage-format drcov --coverage-file TcgPlatformSetupPolicy.cov

ด้วยเอาต์พุต JSON (Windows ส่วนใหญ่): 

 $ ./qltool run -f examples/rootfs/x86_windows/bin/x86_hello.exe --rootfs  examples/rootfs/x86_windows/ --console False --json

ติดต่อ

รับข้อมูลล่าสุดจากเว็บไซต์ของเรา https://www.qiling.io

ติดต่อเราได้ที่ email [email protected] หรือผ่าน Twitter @Qiling_io หรือ Weibo

นักพัฒนาหลักผู้สนับสนุนหลักและ ฯลฯ

โปรดดูเครดิต MD

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด