如何使用Speakeasy实现Windows内核和用户模式仿真

Windows系统
429
0
0
2022-10-03
IT之家学院:让Win10蓝屏显示详细信息,拒绝哭脸
上一篇
如何长时间保持windows远程桌面不被自动断开
下一篇

关于Speakeasy

Speakeasy是一款功能强大的模块化二进制模拟器,旨在帮助广大研究人员模拟Windows内核以及用户模式恶意软件。

Speakeasy模拟的是Windows的特定组件,而不是尝试使用整个虚拟化操作系统执行动态分析。具体地说,Speakeasy可以通过模拟操作系统API、对象、正在运行的进程/线程、文件系统和网络,给研究人员提供一个能够让待分析样本完整执行的环境。

样本可以很容易地在容器或云服务中进行模拟,这将允许研究人员同时分析多个样本。当前版本的Speakeasy支持用户模式和内核模式Windows应用程序。

在进行模拟之前,工具会识别代码中的入口点,而且还可以模拟在运行时所发现的动态入口点。除此之外,Speakeasy可以在模拟过程中尽可能多地覆盖代码。

Speakeasy完全基于Python 3开发,并且基于Unicorn仿真引擎来模拟CPU指令。

工具安装

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/fireeye/speakeasy

Speakeasy可以在Docker容器中执行,或者以单独的脚本执行,也可以在云服务中执行。安装该工具最简单的方法就是先安装好Speakeasy所需的依赖包,然后运行项目中的setup.py脚本:

cd <repo_base_dir>
python3 -m pip install -r requirements.txt
python3 setup.py install

项目中还提供了一个Docker文件,可以用于构建Docker镜像。不过,Speakeasy的依赖组件可以安装在本地系统,或直接通过Python运行。

Docker容器运行

该项目中提供的Dockerfile可以用于生成Docker镜像。

Docker镜像构建

首先,我们需要使用下列命令创建一个容器,标签名为“my_tag”:

cd <repo_base_dir>
docker build -t "my_tag" .

接下来,使用下列命令运行Docker镜像,并在/sandbox中创建一个本地卷:

docker run -v <path_containing_malware>:/sandbox -it "my_tag"

工具使用

以代码库运行

下面的例子中,我们演示了如何模拟一个Windows DLL:

import speakeasy
    # Get a speakeasy object
    se = speakeasy.Speakeasy()
    # Load a DLL into the emulation space
    module = se.load_module("myfile.dll")
    # Emulate the DLL's entry point (i.e. DllMain)
    se.run_module(module)
    # Set up some args for the export
    arg0 = 0x0
    arg1 = 0x1
    # Walk the DLLs exports
    for exp in module.get_exports():
        if exp.name == 'myexport':
            # Call an export named 'myexport' and emulate it
            se.call(exp.address, [arg0, arg1])
    # Get the emulation report
    report = se.get_report()
    # Do something with the report; parse it or save it off for post-processing
以命令行工具运行
usage: run_speakeasy.py [-h] [-t TARGET] [-o OUTPUT] [-p [PARAMS ...]] [-c CONFIG] [-m] [-r] [--raw_offset RAW_OFFSET]
                        [-a ARCH] [-d DUMP_PATH] [-q TIMEOUT] [-z DROP_FILES_PATH] [-l MODULE_DIR] [-k] [--no-mp]
Emulate a Windows binary with speakeasy
optional arguments:
  -h, --help            显示帮助信息并退出
  -t TARGET, --target TARGET
                       模拟的输入文件路径
  -o OUTPUT, --output OUTPUT
                       保存报告的输出文件路径
  -p [PARAMS ...], --params [PARAMS ...]
                       提供个模拟进程的命令行参数
  -c CONFIG, --config CONFIG
                        模拟器配置文件路径
  -m, --mem-tracing      启用内存跟踪,记录样本访问的所有内存
  -r, --raw              尝试模拟未解析的文件
  --raw_offset RAW_OFFSET
                       原始模式下开始模拟的偏移量地址
  -a ARCH, --arch ARCH   设置模拟过程中所使用的架构,支持[ x86 | amd64 ]
  -d DUMP_PATH, --dump DUMP_PATH
                       存储压缩内存转储包的路径
  -q TIMEOUT, --timeout TIMEOUT
                       模拟超时(默认为60秒)
  -z DROP_FILES_PATH, --dropped-files DROP_FILES_PATH
                       存储模拟过程中创建的文件的路径
  -l MODULE_DIR, --module-dir MODULE_DIR
                        存储可加载PE模块的目录路径
  -k, --emulate-children
                        模拟CreateProcess API创建的任意进程
  --no-mp               在当前进程中运行模拟任务

工具使用样例

模拟一个Windows驱动程序

user@mybox:~/speakeasy$ python3 run_speakeasy.py -t ~/drivers/MyDriver.sys

模拟32位Windows Shellcode

user@mybox:~/speakeasy$ python3 run_speakeasy.py -t ~/sc.bin  -r -a x86

模拟64位Windows Shellcode并创建完整的内存转储

user@mybox:~/speakeasy$ python3 run_speakeasy.py -t ~/sc.bin  -r -a x64 -d memdump.zip

项目地址

Speakeasy:【点击阅读原文】

参考资料

https://www.fireeye.com/blog/threat-research/2020/08/emulation-of-malicious-shellcode-with-speakeasy.html https://github.com/unicorn-engine/unicorn https://github.com/fireeye/speakeasy/blob/master/doc/configuration.md https://github.com/fireeye/speakeasy/blob/master/doc/limitations.md
IT之家学院:让Win10蓝屏显示详细信息,拒绝哭脸
上一篇
如何长时间保持windows远程桌面不被自动断开
下一篇