qiling

QILING的用例，博客及相關工作

Qling是一個高級二進制仿真框架，具有以下功能：

• 模擬多平台：Windows，MacOS，Linux，Android，BSD，UEFI，DOS，MBR，以太坊虛擬機
• 模擬多構造：8086，x86，x86_64，ARM，ARM64，MIPS，RISCV，POWERPC
• 支持多種文件格式：PE，Macho，Elf，Com，MBR
• 支持Windows驅動程序（.sys），Linux內核模塊（.ko）和MacOS內核（.Kext）通過Demigod
• 在孤立的環境中模擬和沙盒代碼
• 提供一個完全可配置的沙箱
• 提供深入的內存，註冊，OS級別和文件系統級別API
• 細粒儀器：允許在各個級別上掛鉤（指令/基本塊/內存訪問/異常/syscall/io/等）
• 提供虛擬機級API，例如保存和還原當前執行狀態
• 支持跨架構和平台調試功能
• 內置調試器具有反向調試功能
• 允許動態的HotPatch即時運行代碼，包括已加載的庫
• Python中的真實框架，可以輕鬆地在頂部構建自定義的安全分析工具

Qilling也參加了各種國際會議。

2022：

• 黑帽，歐盟
• 黑色帽子，mea

2021：

• 美國黑帽子
• 盒子裡的黑客，阿姆斯特丹
• 黑帽子，亞洲

2020年：

• 黑帽，歐洲
• 美國黑帽子
• 美國黑帽（Demigod）
• 黑帽子，亞洲
• 框中的黑客，鎖定001
• 框中的黑客，鎖定002
• 盒子裡的黑客，cyberweek
• nullcon

2019：

• 美國德國
• hitcon
• Zeronights

Q林由Unicorn Engine支持。

有關更多信息，請訪問我們的網站https://www.qiling.io。

該項目以免費軟件許可GPLV2和更高版本的版本發布和分發。

有許多開源仿真器，但是最接近Qling的兩個項目是Unicorn＆Qemu Usermode。本節解釋了對它們的質量的主要區別。

建立在獨角獸之上，但Qiling＆Unicorn是兩種不同的動物。

• 獨角獸只是CPU模擬器，因此它專注於模擬CPU指令，可以理解模擬器記憶。除此之外，Unicorn不知道更高級別的概念，例如動態庫，系統調用，I/O處理或可執行格式（例如PE，Macho或Elf）。結果，獨角獸只能模擬原始機器說明，而無需操作系統（OS）上下文
• QLIGE被設計為更高級別的框架，它利用獨角獸模仿CPU指令，但可以理解OS：它具有可執行的格式加載程序（目前為PE，Macho＆Elf），動態鏈接器（因此我們可以加載和重新安置共享庫），SYSCALL＆IO HANDLERS。因此，Qly可以運行可執行的二進製文件，而無需其本機操作系統

Qemu Usermode與我們的模擬器類似，即以跨體系結構方式模擬整個可執行二進製文件。但是，Qingil提供了一些與Qemu Usermode的重要差異。

• Qling是一個真正的分析框架，它使您可以在頂部（使用友好的Python語言）構建自己的動態分析工具。同時，Qemu只是一種工具，而不是框架
• QLILE可以執行動態儀器，甚至可以在運行時熱繪製代碼。 Qemu也不會這樣做
• 不僅工作跨架結構，還可以跨平台，因此您可以在Windows頂部運行Linux Elf文件。相比之下，Qemu Usermode僅運行同一OS的二進製文件，例如Linux上的Linux Elf，因為它將Syscall從模擬代碼轉發到本機OS的方式
• Qling支持更多平台，包括Windows，MacOS，Linux和BSD。 Qemu Usermode只能處理Linux＆BSD

請參閱設置指南文件，以獲取如何安裝QILING框架。

• 下面的示例顯示瞭如何以最曲折的方式使用QLING框架來模仿Windows可執行文件。

 from qiling import Qiling

if __name__ == "__main__" :
    # initialize Qiling instance, specifying the executable to emulate and the emulated system root.
    # note that the current working directory is assumed to be Qiling home
    ql = Qiling ([ r'examples/rootfs/x86_windows/bin/x86_hello.exe' ], r'examples/rootfs/x86_windows' )

    # start emulation
    ql . run ()

• 下面的示例顯示瞭如何對Windows CrackMe進行動態修補，以使其始終顯示“祝賀”對話框。

 from qiling import Qiling

def force_call_dialog_func ( ql : Qiling ):
    # get DialogFunc address from current stack frame
    lpDialogFunc = ql . stack_read ( - 8 )

    # setup stack memory for DialogFunc
    ql . stack_push ( 0 )
    ql . stack_push ( 1001 )     # IDS_APPNAME
    ql . stack_push ( 0x111 )    # WM_COMMAND
    ql . stack_push ( 0 )

    # push return address
    ql . stack_push ( 0x0401018 )

    # resume emulation from DialogFunc address
    ql . arch . regs . eip = lpDialogFunc


if __name__ == "__main__" :
    # initialize Qiling instance
    ql = Qiling ([ r'rootfs/x86_windows/bin/Easy_CrackMe.exe' ], r'rootfs/x86_windows' )

    # NOP out some code
    ql . patch ( 0x004010B5 , b' x90 x90 ' )
    ql . patch ( 0x004010CD , b' x90 x90 ' )
    ql . patch ( 0x0040110B , b' x90 x90 ' )
    ql . patch ( 0x00401112 , b' x90 x90 ' )

    # hook at an address with a callback
    ql . hook_address ( force_call_dialog_func , 0x00401016 )
    ql . run ()

下面的YouTube視頻顯示了上述示例的工作原理。

• QILILE框架熱點並在x86_64bit Ubuntu上模擬ARM路由器/usr/bin/httpd

• 該視頻演示了Qly的IDAPRO插件如何通過Qliging儀表引擎進行IDAPRO運行

• 通過QILILE框架和IDAPRO解決簡單的CTF挑戰

• QILILE框架模擬MBR

Qling還提供了一個名為qltool的友好工具，以快速模擬ShellCode和可執行二進製文件。

使用QLTool，可以輕鬆執行：

使用shellcode：

 $ ./qltool code --os linux --arch arm --format hex -f examples/shellcodes/linarm32_tcp_reverse_shell.hex

使用二進製文件：

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --rootfs  examples/rootfs/x8664_linux/

使用二進制和GDB調試器啟用：

 $ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --gdb 127.0.0.1:9999 --rootfs examples/rootfs/x8664_linux

使用代碼覆蓋範圍收集（目前僅UEFI）：

 $ ./qltool run -f examples/rootfs/x8664_efi/bin/TcgPlatformSetupPolicy --rootfs examples/rootfs/x8664_efi --coverage-format drcov --coverage-file TcgPlatformSetupPolicy.cov

使用JSON輸出（主要是Windows）：

 $ ./qltool run -f examples/rootfs/x86_windows/bin/x86_hello.exe --rootfs  examples/rootfs/x86_windows/ --console False --json

從我們的網站https://www.qiling.io獲取最新信息

通過電子郵件[email protected]或通過Twitter @qiling_io或微博與我們聯繫

請參考Credits.md