LyScript 中提供了多種記憶體特征掃描函數,每一種掃描函數用法各不相同,在使用掃描函數時應首先搞清楚他們之間的差異,如下将分别詳細介紹每一種記憶體掃描函數是如何靈活運用的,最後将實作一個簡易版記憶體查殼腳本,可快速定位目标程式加了什麼殼。
LyScript 中提供了多種記憶體特征掃描函數,每一種掃描函數用法各不相同,在使用掃描函數時應首先搞清楚他們之間的差異,如下将分别詳細介紹每一種記憶體掃描函數是如何靈活運用的,最後将實作一個簡易版記憶體查殼腳本,可快速定位目标程式加了什麼殼。
先來了解第一個函數
scan_memory_all()
的特點,該函數用來掃描目前程序内EIP所指向位置處整個記憶體段中符合條件的特征,如果找到了則傳回一個清單,如果沒有找到則傳回False,該函數與
scan_memory_one()
函數原理是一緻的,唯一的不同是all以清單形式傳回所有比對到的行,one則隻傳回比對到的第一條記錄,這兩個函數都支援
??
模糊比對。
如果載入一個程式,預設停留在系統領空,則調用該函數你所能得到的特征記錄隻能是系統領空特定dll内的特征集。
例如掃描
ntdll.dll
子產品内的所有特征字段是
55 8b ec 83 e4
的記錄,代碼是這樣的。
from LyScript32 import MyDebug
if __name__ == "__main__":
dbg = MyDebug()
conn = dbg.connect()
ref_one = dbg.scan_memory_one("55 8b ec 83 e4")
print("掃描一行: {}".format(hex(ref_one)))
ref_all = dbg.scan_memory_all("55 8b ec 83 e4")
for index in range(0, len(ref_all)):
print("記錄: {} 位址: {}".format(index,hex(ref_all[index])))
dbg.close()
運作效果如下:
有時我們需要指定掃描某個子產品,例如掃描程序内的
msvcr120.dll
子產品,裡面的特征值。
此時需要想得到該子產品的入口位址,然後将EIP切換過去,此時在調用
scan_memory_all()
來完成搜尋,當然最好先備份原始EIP位置,這樣掃描完以後可以直接切回去。
from LyScript32 import MyDebug
if __name__ == "__main__":
dbg = MyDebug()
conn = dbg.connect()
# 得到所有子產品
local_module_base = dbg.get_all_module()
for index in local_module_base:
# 找到需要的子產品
if index.get("name") == "msvcr120.dll":
entry = index.get("entry")
print("掃描入口: {}".format(hex(entry)))
# 切過去
dbg.set_register("eip",entry)
# 開始搜尋特征
scan_ref = dbg.scan_memory_all("5d c2 0c 00 55 8b ec")
for x in scan_ref:
print("掃描到: {}".format(hex(x)))
dbg.close()
輸出結果如下:
當然為了使掃描效率更高一些,新版插件中新增了
scan_memory_any()
函數,該函數無需切換到子產品入口處即可實作掃描特定子產品内的特征,不過該函數隻能傳回找到的第一條記錄,且需要傳入掃描起始位置以及掃描長度,不過得到這些參數并不難。
from LyScript32 import MyDebug
if __name__ == "__main__":
dbg = MyDebug()
conn = dbg.connect()
# 得到程序子產品
local_module = dbg.get_all_module()[0]
# 得到子產品參數
module_base = local_module.get("base")
module_size = local_module.get("size")
print("基位址: {} 長度: {} 結束位址: {}".format(hex(module_base),hex(module_size),hex(module_base+module_size)))
# 掃描記憶體
ref = dbg.scan_memory_any(module_base,module_size,"51 5c a8 f8 4c 34 33")
if ref != False:
print("找到記憶體: {}".format(hex(ref)))
dbg.close()
掃描結果如下:
如上記憶體掃描方法如果可以搞明白,那麼查殼這個功能就變得很簡單了,市面上的查殼軟體PEID等基本都是采用特征碼定位的方式,是以我們想要實作查殼以及檢測編譯器特征可以采用特征碼掃描法,如下代碼即可實作查殼功能。
from LyScript32 import MyDebug
# 查殼功能
def scan(dbg, string):
# 得到程序子產品
local_module = dbg.get_all_module()[0]
# 得到子產品參數
module_base = local_module.get("base")
module_size = local_module.get("size")
# print("基位址: {} 長度: {} 結束位址: {}".format(hex(module_base),hex(module_size),hex(module_base+module_size)))
# 掃描記憶體
ref = dbg.scan_memory_any(module_base,module_size,string)
if ref != False:
return True
return False
if __name__ == "__main__":
dbg = MyDebug()
conn = dbg.connect()
# 存儲特征碼
signs = [
{"key": "Microsoft Visual C++ 2013", "value": "e8 ?? ?? ?? ?? e9 ?? ?? ?? ?? 55 8b ec"},
{"key": "UPX 3.96w", "value": "60 be ?? ?? ?? ?? 8d be 00 90 ff ff 57"}
]
for index in signs:
check = scan(dbg, index.get("value"))
if check == True:
print("編譯特征: {}".format(index.get("key")))
dbg.close()
分别檢測後輸出結果如下:
upx加殼軟體輸出為
vs2013編譯器特征輸出