通过对LyScript自动化插件进行二次封装,实现从内存中读入目标进程解码后的机器码,并通过Python代码在这些机器码中寻找特定的十六进制字符数组,或直接检索是否存在连续的反汇编指令片段等功能。

搜索内存中的机器码: 内存机器码需要配合LyScript32插件,从内存中寻找指令片段。

from LyScript32 import MyDebug

# 将可执行文件中的单数转换为 0x00 格式

def ReadHexCode(code):

    hex_code = []

    for index in code:

        if index >= 0 and index <= 15:

            #print("0" + str(hex(index).replace("0x","")))

            hex_code.append("0" + str(hex(index).replace("0x","")))

        else:

            hex_code.append(hex(index).replace("0x",""))

            #print(hex(index).replace("0x",""))

    return hex_code

# 获取到内存中的机器码

def GetCode():

    try:

        ref_code = []

        dbg = MyDebug()

        connect_flag = dbg.connect()

        if connect_flag != 1:

            return None

        start_address = dbg.get_local_base()

        end_address = start_address + dbg.get_local_size()

        # 循环得到机器码

        for index in range(start_address,end_address):

            read_bytes = dbg.read_memory_byte(index)

            ref_code.append(read_bytes)

        dbg.close()

        return ref_code

    except Exception:

        return False

# 在字节数组中匹配是否与特征码一致

def SearchHexCode(Code,SearchCode,ReadByte):

    SearchCount = len(SearchCode)

    #print("特征码总长度: {}".format(SearchCount))

    for item in range(0,ReadByte):

        count = 0

        # 对十六进制数切片,每次向后遍历SearchCount

        OpCode = Code[ 0+item :SearchCount+item ]

        #print("切割数组: {} --> 对比: {}".format(OpCode,SearchCode))

        try:

            for x in range(0,SearchCount):

                if OpCode[x] == SearchCode[x]:

                    count = count + 1

                    #print("寻找特征码计数: {} {} {}".format(count,OpCode[x],SearchCode[x]))

                    if count == SearchCount:

                        # 如果找到了,就返回True,否则返回False

                        return True

                        exit(0)

        except Exception:

            pass

    return False

if __name__ == "__main__":

    # 读取到内存机器码

    ref_code = GetCode()

    if ref_code != False:

        # 转为十六进制

        hex_code = ReadHexCode(ref_code)

        code_size = len(hex_code)

        # 指定要搜索的特征码序列

        search = ['c0', '74', '0d', '66', '3b', 'c6', '77', '08']

        # 搜索特征: hex_code = exe的字节码,search=搜索特征码,code_size = 搜索大小

        ret = SearchHexCode(hex_code, search, code_size)

        if ret == True:

            print("特征码 {} 存在".format(search))

        else:

            print("特征码 {} 不存在".format(search))

    else:

        print("读入失败")

输出效果:

搜索内存反汇编代码: 通过LyScript插件读入内存机器码,并在该机器码中寻找指令片段,找到后返回内存首地址。

from LyScript32 import MyDebug

# 检索指定序列中是否存在一段特定的指令集

def SearchOpCode(OpCodeList,SearchCode,ReadByte):

    SearchCount = len(SearchCode)

    for item in range(0,ReadByte):

        count = 0

        OpCode_Dic = OpCodeList[ 0 + item : SearchCount + item ]

        # print("切割字典: {}".format(OpCode_Dic))

        try:

            for x in range(0,SearchCount):

                if OpCode_Dic[x].get("opcode") == SearchCode[x]:

                    #print(OpCode_Dic[x].get("addr"),OpCode_Dic[x].get("opcode"))

                    count = count + 1

                    if count == SearchCount:

                        #print(OpCode_Dic[0].get("addr"))

                        return OpCode_Dic[0].get("addr")

                        exit(0)

        except Exception:

            pass

if __name__ == "__main__":

    dbg = MyDebug()

    connect_flag = dbg.connect()

    print("连接状态: {}".format(connect_flag))

    # 得到EIP位置

    eip = dbg.get_register("eip")

    # 反汇编前1000行

    disasm_dict = dbg.get_disasm_code(eip,1000)

    # 搜索一个指令序列,用于快速查找构建漏洞利用代码

    SearchCode = [

        ["push 0xC0000409", "call 0x003F1B38", "pop ecx"],

        ["push ecx", "push ebx"]

    ]

    # 检索内存指令集

    for item in range(0,len(SearchCode)):

        Search = SearchCode[item]

        # disasm_dict = 返回汇编指令 Search = 寻找指令集 1000 = 向下检索长度

        ret = SearchOpCode(disasm_dict,Search,1000)

        if ret != None:

            print("指令集: {} --> 首次出现地址: {}".format(SearchCode[item],hex(ret)))

    dbg.close()

输出效果:

LyScript 自实现汇编搜索功能的更多相关文章

  1. Android搜索功能的案例,本地保存搜索历史记录......

    开发的APP有一个搜索功能,并且需要显示搜索的历史记录,我闲暇之余帮她开发了这个功能,现把该页面抽取成一个demo分享给大家. 实现效果如图所示:  本案例实现起来很简单,所以可以直接拿来嵌入项目中使 ...

  2. Yii 1开发日记 -- 搜索功能及Checkbox的实现

    用yii 1实现后台的搜索功能,效果如下图: 1.模型中: public function search() { $criteria = new CDbCriteria; //独立高级搜索 if(is ...

  3. iOS--- UITableView + UISearchDisplayController - - - - -实现搜索功能

    iOS中UISearchDisplayController用于搜索,搜索栏的重要性我们就不说了,狼厂就是靠搜索起家的,现在越来越像一匹没有节操的狼,UC浏览器搜索栏现在默认自家的神马搜索,现在不管是社 ...

  4. SharePoint 2013 搜索功能,列表项目不能完全被索引

    描述 最近一个站点,需要开启搜索功能,然后创建内容源,开始爬网,发现列表里只有一部分被索引,很多项目没有被索引,甚是奇怪,如下图(其实列表里有80几条项目). 首先爬网账号是系统账号.服务器管理员,所 ...

  5. idea 光标变成粗体且当前文件搜索功能无法使用的问题

    今天安装了idea最新版,安装完成后发现光标变成了粗体,并且快捷键在使用时出现了问题,比如:ctrl+F搜索功能无法使用 经过反复修改配置也无法改善情况,后来一次重启看到下面小窗弹出有关vim的一个提 ...

  6. js table的笔记,实现添加 td,实现搜索功能

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta http ...

  7. MMS搜索功能修改

    高通平台的MMS源码中提供了搜索功能,但要先选择分类(名字,号码,信息内容,彩信主题),再输入字符,根据分类进行搜索. 而在Contacts中却不需要分类,直接根据输入字符搜索任意匹配字段.相比之下, ...

  8. ILSpy搜索功能加强版

    1.修改搜索功能,增加如下的额外搜索选项 A.按文本搜索(默认选项) B.按通配符搜索 C.按正则表达式搜索 2.搜索增加如下特性: A.可以按照名字空间检索特定名字空间下的所有类. B.修正了官方版 ...

  9. PHP+mysql数据库开发搜索功能:中英文分词+全文检索(MySQL全文检索+中文分词(SCWS))

    PHP+mysql数据库开发类似百度的搜索功能:中英文分词+全文检索 中文分词: a)   robbe PHP中文分词扩展: http://www.boyunjian.com/v/softd/robb ...

  10. yii2组件之下拉框带搜索功能(yii-select2)

    简单的小功能,但是用起来还是蛮爽的.分享出来让更多的人有更快的开发效率,开开心心快乐编程. 如果你还没有使用过composer,你可就out了,看我的教程分享,composer简直就是必备神奇有木有. ...

随机推荐

  1. 别再问我 2050 可以干什么,Make a Movie in a Day!

    2050 的每个年青人都是新物种.越是不可能见面的人见了面,就越会有奇迹发生,2050 努力让年青人见上另一位年青人,激发新的创造力.一起来 2050 看看? 2050 是什么? 2050 大会是由阿 ...

  2. 0.o?让我看看怎么个事儿之SpringBoot自动配置

    学习 SpringBoot 自动配置之前我们需要一些前置知识点: Java注解,看完就会用 学会@ConfigurationProperties月薪过三千 不是银趴~是@Import! @Condit ...

  3. POJ:Arbitrage (搜索,汇率换算是否赚?)

    POJ 2240 http://poj.org/problem?id=2240 题意:判断是否存在使得汇率增多的环 [任意一个点的汇率增多都可以] Floyd 简单变形 \(w[i][j] = max ...

  4. Codeforces Round #738 (Div. 2) (A~E)

    比赛链接:Here 1559A. Mocha and Math 题意: 给定一个区间,选择区间内的值执行 & 操作使得区间最大值最小化 观察样例发现:令 x = (1 << 30) ...

  5. C#利用折线图分析产品销售走势

    图形界面 数据 查询效果 代码 private void button1_Click(object sender, EventArgs e) { G++; DrowFont(this.comboBox ...

  6. jdk与tomcat的安装部署(CentOS8)(VM)

    一.登陆CentOS8 通过VMware Workstation登陆CentOS8系统   二.VMware Tools安装 1.找到VMware Tools对应文件: VMwareTools-10. ...

  7. Oracle数据库学习总结

    SQL 笔记 ch3_cn 1.数据类型记录 char(n) 定长字符 varchar(n) 可变长字符 numeric(p,d) 定点数,总位数p,小数点后位数q float(n) n位浮点数 2. ...

  8. 【RTOS】基于RTOS的嵌入式系统看门狗策略

    RTOS - high integrity systems 看门狗策略 Watchdog Strategies for RTOS enabled embedded systems 介绍 看门狗定时器就 ...

  9. NodeJS安装指南(Mac)

    nvm,node,npm之间的区别 nvm:nodejs 版本管理工具. 也就是说:一个 nvm 可以管理很多 node 版本和 npm 版本. nodejs:在项目开发时的所需要的代码库 npm:n ...

  10. [转帖]MySQL数据库8.0.29-8.0.31版本使用 INSTANT 算法新增字段bug

    https://www.cnblogs.com/harda/p/17528512.html xxx下发MySQL数据库共性隐患排查通知,要求统一排查MySQL数据库8.0.29及以后版本使用 INST ...