首頁>JSP源碼>其他類別
下載

Binee(二​​​​元仿真環境)

Binee是一個完整的二元仿真環境,側重於所有IO操作的內省。該項目的主要目標是提供一個靈活的環境,以確定對系統的二進制副作用。

Binee試圖解決的目標如下:

  1. PE文件的現實加載及其所需的依賴項。 Userland內存應盡可能接近實際執行。
  2. 易於使用的掛鉤框架。我們想創建一個靈活的鉤框架,使分析師能夠快速實現新的鉤子並捕獲數據。
  3. 盡可能合理地嘲笑盡可能多的OS內部設備。當前,Windows的文件系統,註冊表,線程和TIB/PEB結構的小型模型。
  4. OS環境應盡可能在配置文件中定義。這使得從環境到環境的快速運動。

如果您選擇使用Binee效仿Microsoft Windows的部分,那麼您將完全負責從Microsoft獲得任何必要的權利和許可。

發展和支持

請隨時提交GitHub問題,或者如果您想直接與我們交談,來加入就很懈怠

鬆弛的工作區

DEF CON 27材料

幻燈片

演示視頻

推介會

在Docker容器中設置和開發

如果您在Microsoft Windows上運行Binee,則可以跳過模擬文件系統步驟。

大多數惡意軟件至少需要一些標準的DLL,並且需要從模擬文件系統訪問這些DLL。默認的“ root”模擬文件系統位於os/win10_32/中。為了允許惡意軟​​件加載DLL,您需要將其複製到模擬文件系統中的適當位置。通常,它們應複製到os/win10_32/windows/system32/ 。當前,僅支持從32位窗口安裝中拉出的32位DLL。在該目錄中擁有所需的文件後,您可以轉到編譯和運行步驟。

編譯和跑步

使用以下docker命令docker build -t binee . 

 docker run -it -v $PWD:/bineedev/go/src/github.com/carbonblack/binee binee bash

下載Golang依賴並建立Binee 

 root@2b0fee41629f:~/go/src/github.com/carbonblack/binee# go build

注意:mod文件的存在將指示構建實用程序在構建時收集依賴項,還允許在任何路徑(無論$GOPATH )目錄中克隆和開發存儲庫

此時,您應該能夠在Docker容器中執行Binee並查看使用菜單。 

 root@6a6fe8c2b2a7:~/go/src/github.com/carbonblack/binee# ./binee -h
Usage of ./binee:
  -A    list all apisets and their mappings
  -a string
        get the real dll name from an apiset name
  -c string
        path to configuration file
  -d    show the dll prfix on all function calls
  -e    dump pe file's exports table
  -i    dump a pe file's imports table
  -j    output data as json
  -l    call DLLMain while loading DLLs
  -r string
        root path of mock file system, defaults to ./os/win10_32 (default "os/win10_32/")
  -v    verbose level 1
  -vv
        verbose level 2

如果您在Microsoft Windows上運行和/或對模擬文件系統進行了正確配置,則應該能夠在tests/目錄中執行所有PE文件。 

 root@6a6fe8c2b2a7:~/go/src/github.com/carbonblack/binee# go build && ./binee tests/ConsoleApplication1_x86.exe 
[1] 0x2190c0b0: F GetSystemTimeAsFileTime(lpSystemTimeAsFileTime = 0xb7feffe0) = 0xb7feffe0
[1] 0x21905b40: P GetCurrentThreadId() = 0x0
[1] 0x219138d0: P GetCurrentProcessId() = 0x2001
[1] 0x2011ef30: P GetCurrentProcessId() = 0x2001
[1] 0x21905b50: F QueryPerformanceCounter(lpPerformanceCount = 0xb7feffd8) = 0x1
[1] 0x2190c500: F IsProcessorFeaturePresent(ProcessorFeature = 0xa) = 0x1
[1] 0x213af570: F _initterm_e(PVFV = 0x4020d8, PVFV = 0x4020e4) = 0x0
[1] 0x213af970: F _initterm(PVPV = 0x4020cc, PVPV = 0x4020d4) = 0x0
[1] 0x213be980: F __p___argv() = 0x7ffe0004
[1] 0x213b96f0: F __p___argc() = 0x7ffe0000
[1] 0x213bec50: F _get_initial_narrow_environment() = 0x7ffe0000
[1] 0x213ac0a0: P __acrt_iob_func() = 0x5dda9c68
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'GENERIC_READ = 0x%llxn', p0 = 0x80000000) = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'GENERIC_WRITE = 0x%llxn', p0 = 0x40000000) = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'INVALID_HANDLE = 0x%llxn', p0 = 0xffffffff) = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x0
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'CREATE_ALWAYS = 0x%xn', p0 = 0x2) = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'FILE_ATTRIBUTE_NORMAL = 0x%xn', p0 = 0x80) = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'ERROR_SUCCESS = 0x%xn', p0 = 0x0) = 0x403380
[1] 0x21913b80: F CreateFileA(lpFileName = 'malfile.exe', dwDesiredAccess = 0xc0000000, dwShareMode = 0x0, lpSecurityAttributes = 0x0, dwCreationDisposition = 0x2, dwFlagsAndAttributes = 0x80, hTemplateFile = 0x0) = 0xa00007b6
[1] 0x2196bfbe: F VerSetConditionMask() = 0xa00007b6
[1] 0x213ac0a0: P __acrt_iob_func() = 0xa00007b6
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'out = 0x%xn', p0 = 0xa00007b6) = 0x403380
[1] 0x2196bfbe: F VerSetConditionMask() = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'out = 0x%xn', p0 = 0x403380) = 0x403380
[1] 0x2196bfbe: F VerSetConditionMask() = 0x403380
[1] 0x213ac0a0: P __acrt_iob_func() = 0x403380
[1] 0x213bb710: F __stdio_common_vfprintf(stream = 0x0, format = 'out = 0x%xn', p0 = 0x403380) = 0x403380
[1] 0x21bc0780: P memset(dest = 0xb7feff1c, char = 0x0, count = 0x58) = 0xb7feff1c
[1] 0x21914000: F WriteFile(hFile = 0xa00007b6, lpBuffer = 0xb7feff10, nNumberOfBytesToWrite = 0xb, lpNumberOfBytesWritten = 0xb7feff0c, lpOverlapped = 0x0) = 0xb
[1] 0x2190c500: F IsProcessorFeaturePresent(ProcessorFeature = 0x17) = 0x1
[1] 0x2190fef0: F SetUnhandledExceptionFilter(lpTopLevelExceptionFilter = 0x0) = 0x4
[1] 0x21927950: F UnhandledExceptionFilter(ExceptionInfo = 0x402100) = 0x1
[1] 0x219138c0: P GetCurrentProcess() = 0x1
[1] 0x20122cb0: P GetCurrentProcess() = 0x1
[1] 0x21910690: F TerminateProcess(hProcess = 0xffffffff, uExitCode = 0xc0000409) = 0xffffffff

在窗戶上編譯:

1-Install MSYS64/32:https://osdn.net/projects/mingw/releases/
2更新系統軟件包:
$ pacman --needed -Sy bash pacman pacman-mirrors msys2-runtime
-Restart msys然後更新其他所有內容:
$ pacman -Su

要為Windows 32位編譯,請運行: 

  $ pacman -S python2
  $ pacman -S make
  $ pacman -S mingw-w64-i686-toolchain

要為Windows 64位編譯,請運行: 

  $ pacman -S python2
  $ pacman -S make
  $ pacman -S mingw-w64-x86_64-toolchain

- 安裝去:
pacman -S mingw-w64-x86_64-go

再次3個總體MSYS;然後克隆到Unicorn並安裝它:
git clone https://github.com/unicorn-engine/unicorn
cd unicorn
./make.sh
./make.sh install

4-Clone Binee並建造cd binee
go build

展開
附加信息
相關應用
爲您推薦
相關資訊 全部