Capstone、Unicorn、Keystone

Author： Zok
发布时间：December 2, 2020
4146 views
14 comments
4720 words
Categories：逆向Android Unicorn

Capstone、Unicorn、Keystone

出自同一个组织之手

三个框架的区别与特点
-w781

Capstone

在 2014 年黑帽大会上由新加坡南阳理工大学发布的

Capstone 反汇编引擎框架 官网
Capstone https://github.com/aquynh/capstone
多平台 win + Mac + Linux
多架构 x86 + arm + mips + ppc
多语言接口

python 安装
pip install capstone

Unicorn

在 2015 年黑帽大会上由新加坡南阳理工大学发布的 CPU 模拟器

Unicorn CPU 模拟器官方网站
支持 Arm，Arm64，X86，等等
语言支持 Haskell, Ruby, Python, Java, Go, .NET, Delphi/Pascal & MSVC available.等

python 安装
pip install unicorn

Keystone

在 2016 年黑帽大会上由新加坡南阳理工大学发布的, frida 源码中也有使用。

Keystone 新一代汇编框架官方网站
支持 Arm，Arm64，X86，等等
支持多平台
支持多语言

python 安装
pip install keystone-engine

衍生产品 IDA插件keypatch

实例篇

Keystone

需求：对指定的地址进行反汇编输出

FRIDA 中使用

// addr=地址， number 显示条数
function dis(addr, number){
    // 利用 Keystone 驱动读取 汇编指令
    for(var i=0; i<number;i++){
        var ins=Instruction.parse(addr);
        console.log('addr: '+ addr + " --dis: "+ins.toString()); // 指定地址反汇编
        addr = ins.next;

        // 例子
        if(ins.mnemonic.startsWith("bl")){
            console.log("this is a function call ins!!")
            //hook();
            //ins.operands
        }
    }
}

-w318

直接python使用：
官方示例

from capstone import *

CODE = b"\x55\x48\x8b\x05\xb8\x13\x00\x00"

md = Cs(CS_ARCH_X86, CS_MODE_64)
for i in md.disasm(CODE, 0x1000):
    print("0x%x:\t%s\t%s" %(i.address, i.mnemonic, i.op_str))

解锁反调试

解锁的方法很多，这里只是结合 Capstone 的一个例子

Frida 中有 Capstone 驱动的 ArmWriter，可以利用其来解锁反调试官方说明文档其中可以用 putNop 来达到效果对指定的地址写入 nop 指令。当然也可以用断点指令 putBreakpoint() 等等

这里我们来实战一个，自动检测 Frida 的 bybass。（app附件下载）

包名： com.example.test
目标： frida 运行程序就会被关闭
So： libnative-lib.so

分析：
该种情况最常见的就是被kill掉了

导入表中可以看到这些关键词

找到 so 加载中较早的hook点 -w832

call_function 就是一个较早的点稳当
call_function("DT_INIT", init_func_, get_realpath());
参数1: 要执行的函数的类型， 参数2: 当前地址 参数3: so 路径

// 这是视频教程的 Demo，视频apk并不适用


// addr=地址， number 显示条数
function dis(address, number) {
    // 利用 Keystone 驱动读取 汇编指令
    for (var i = 0; i < number; i++) {
        var ins = Instruction.parse(address);
        console.log("address:" + address + "--dis:" + ins.toString()); // 指定地址反汇编
        address = ins.next;
    }
}

//libc->strstr()
function hook() {
//call_function("DT_INIT", init_func_, get_realpath());
    var linkermodule = Process.getModuleByName("linker");
    var call_function_addr = null;
    var symbols = linkermodule.enumerateSymbols();
    for (var i = 0; i < symbols.length; i++) {
        var symbol = symbols[i];
        //LogPrint(linkername + "->" + symbol.name + "---" + symbol.address);

        // 符号， 导出函数
        if (symbol.name.indexOf("__dl__ZL13call_functionPKcPFviPPcS2_ES0_") != -1) {
            call_function_addr = symbol.address;
            //LogPrint("linker->" + symbol.name + "---" + symbol.address)

        }
    }
    Interceptor.attach(call_function_addr, {
        onEnter: function (args) {
            var type = ptr(args[0]).readUtf8String();
            var address = args[1];
            var sopath = ptr(args[2]).readUtf8String();
            console.log("loadso:" + sopath + "--addr:" + address + "--type:" + type);
            if (sopath.indexOf("libnative-lib.so") != -1) {
                var libnativemodule = Process.getModuleByName("libnative-lib.so");
                var base = libnativemodule.base;
                dis(base.add(0x8D8E).add(1), 10);
                var patchaddr = base.add(0x8d96);

                // 方法1:
                Memory.patchCode(patchaddr, 4, patchaddr => {
                    var cw = new ThumbWriter(patchaddr);
                    cw.putNop();
                    cw = new ThumbWriter(patchaddr.add(0x2));
                    cw.putNop();
                    cw.flush();
                });
     

                // 方法2:
                // console.log("+++++++++++++++++++++++")
                // dis(base.add(0x8D8E).add(1), 10);
                // console.log("----------------------")

                // dis(base.add(0x8E6E).add(1), 10);
                // Memory.protect(base.add(0x8E78), 4, 'rwx');//4个字节可写权限
                // base.add(0x8E78).writeByteArray([0x00, 0xbf, 0x00, 0xbf]);
                // console.log("+++++++++++++++++++++++")
                // dis(base.add(0x8E6E).add(1), 10);


            }
        }
    })
}

function main() {
    hook();
}

setImmediate(main);

文章app下载：

此处内容需要评论回复后（审核通过）方可阅读。

Last modification：December 4, 2020

如果觉得我的文章对你有用，请随意赞赏

14 comments

yufd
January 14th, 2022 at 02:42 pm

学习了，正好在研究反调试方面

Reply
yun
December 10th, 2021 at 06:17 pm

..........

Reply
someone
November 28th, 2021 at 09:17 am

恭喜您的附件成功把评论区变成了垃圾场。

Reply
蛋黄酥
November 22nd, 2021 at 02:21 pm

app申请下载复现学习谢谢博主

Reply
三四十
November 5th, 2021 at 02:46 pm

获取APP附件

Reply
不知名的匿名人士
September 1st, 2021 at 10:43 pm

下载附件学习一下

Reply
tye
July 20th, 2021 at 09:19 am

下载附件复现一下

Reply
发生的
July 20th, 2021 at 01:01 am

0000

Reply
rax64
July 12th, 2021 at 08:34 pm

great!

Reply
石榴
May 24th, 2021 at 04:15 pm

膜拜学习

Reply
kingking888
May 12th, 2021 at 10:34 am

下载附件研究一下。

Reply
zhaoyi628
April 27th, 2021 at 10:08 pm

下载附件研究一下。

Reply
Zok
January 14th, 2021 at 07:43 pm

谢谢

Reply
弗莱德
January 14th, 2021 at 03:44 pm

实践下，弄清楚选择0x8D8E和0x8d96地址的原因

Reply

Capstone、Unicorn、Keystone

Zok • 2020 年 12 月 02 日

<h1>Capstone、Unicorn、Keystone</h1><blockquote>出自同一个组织之手</blockquote><p>三个框架的区别与特点<br><img src="https://static.zhangkunzhi.com/2020/12/02/16068714009793.jpg?x-oss-process=image/resize,h_400" alt="-w781" title="-w781"style=""></p><h1>Capstone</h1><blockquote>在 2014 年黑帽大会上由新加坡南阳理工大学发布的</blockquote><ul><li><code>Capstone</code> <strong>反汇编引擎框架</strong> <span class="external-link"><a class="no-external-link" href="http://www.capstone-engine.org/" target="_blank"><i data-feather="external-link"></i>官网</a></span></li><li><code>Capstone</code> <a href="GitHub">https://github.com/aquynh/capstone</a></li><li>多平台 win + Mac + Linux</li><li>多架构 x86 + arm + mips + ppc</li><li>多语言接口</li></ul><p>python 安装<br><code>pip install capstone</code></p><h1>Unicorn</h1><blockquote>在 2015 年黑帽大会上由新加坡南阳理工大学发布的 CPU 模拟器</blockquote><ul><li><code>Unicorn</code> CPU 模拟器 <span class="external-link"><a class="no-external-link" href="https://www.unicorn-engine.org/" target="_blank"><i data-feather="external-link"></i>官方网站</a></span></li><li>支持 Arm，Arm64，X86，等等</li><li>语言支持 Haskell, Ruby, Python, Java, Go, .NET, Delphi/Pascal & MSVC available.等</li></ul><p>python 安装<br><code>pip install unicorn</code></p><h1>Keystone</h1><blockquote>在 2016 年黑帽大会上由新加坡南阳理工大学发布的, frida 源码中也有使用。</blockquote><ul><li><code>Keystone</code> 新一代汇编框架 <span class="external-link"><a class="no-external-link" href="https://www.keystone-engine.org/" target="_blank"><i data-feather="external-link"></i>官方网站</a></span></li><li>支持 Arm，Arm64，X86，等等</li><li>支持多平台</li><li>支持多语言</li></ul><p>python 安装<br><code>pip install keystone-engine</code></p><ul><li>衍生产品 <span class="external-link"><a class="no-external-link" href="https://github.com/keystone-engine/keypatch" target="_blank"><i data-feather="external-link"></i>IDA插件keypatch</a></span></li></ul><h1>实例篇</h1><h2>Keystone</h2><blockquote>需求：对指定的地址进行反汇编输出</blockquote><p>FRIDA 中使用</p><pre><code class="lang-javascript">// addr=地址， number 显示条数
function dis(addr, number){
    // 利用 Keystone 驱动读取 汇编指令
    for(var i=0; i&lt;number;i++){
        var ins=Instruction.parse(addr);
        console.log('addr: '+ addr + &quot; --dis: &quot;+ins.toString()); // 指定地址反汇编
        addr = ins.next;

// 例子
        if(ins.mnemonic.startsWith(&quot;bl&quot;)){
            console.log(&quot;this is a function call ins!!&quot;)
            //hook();
            //ins.operands
        }
    }
}</code></pre><p><img src="https://static.zhangkunzhi.com/2020/12/02/16068778645189.jpg?x-oss-process=image/resize,h_400" alt="-w318" title="-w318"style=""></p><hr><p>直接python使用：<br><span class="external-link"><a class="no-external-link" href="http://www.capstone-engine.org/lang_python.html" target="_blank"><i data-feather="external-link"></i>官方示例</a></span></p><pre><code class="lang-python">from capstone import *

CODE = b&quot;\x55\x48\x8b\x05\xb8\x13\x00\x00&quot;

md = Cs(CS_ARCH_X86, CS_MODE_64)
for i in md.disasm(CODE, 0x1000):
    print(&quot;0x%x:\t%s\t%s&quot; %(i.address, i.mnemonic, i.op_str))</code></pre><p><img src="https://static.zhangkunzhi.com/2020/12/02/16068781011430.jpg?x-oss-process=image/resize,h_400" alt="" title=""style=""></p><h2>解锁反调试</h2><p><strong>解锁的方法很多，这里只是结合 Capstone 的一个例子</strong></p><blockquote>Frida 中有 Capstone 驱动的 <code>ArmWriter</code>， 可以利用其来解锁反调试 <span class="external-link"><a class="no-external-link" href="https://frida.re/docs/javascript-api/#armwriter" target="_blank"><i data-feather="external-link"></i>官方说明文档</a></span> 其中可以用 <code>putNop</code> 来达到效果 <img src="https://static.zhangkunzhi.com/2020/12/04/16070616997579.jpg?x-oss-process=image/resize,h_400" alt="-w351" title="-w351"style=""> 对指定的地址写入 nop 指令。当然也可以用 断点指令 <code>putBreakpoint()</code> 等等</blockquote><p>这里我们来实战一个，自动检测 Frida 的 bybass。（app附件下载）</p><ul><li>包名： com.example.test</li><li>目标： frida 运行程序就会被关闭</li><li>So： libnative-lib.so</li></ul><p>分析：<br>该种情况最常见的就是被kill掉了<br><img src="https://static.zhangkunzhi.com/2020/12/04/16070633275755.jpg?x-oss-process=image/resize,h_400" alt="" title=""style=""><br>导入表中可以看到这些关键词</p><p>找到 so 加载中较早的hook点 <img src="https://static.zhangkunzhi.com/2020/12/04/16070652090210.jpg?x-oss-process=image/resize,h_400" alt="-w832" title="-w832"style=""></p><ul><li><code>call_function</code> 就是一个较早的点  <span class="external-link"><a class="no-external-link" href="http://androidxref.com/8.0.0_r4/search?q=&defs=call_function&refs=&path=&hist=&project=bionic" target="_blank"><i data-feather="external-link"></i>稳当</a></span></li><li><code>call_function(&quot;DT_INIT&quot;, init_func_, get_realpath());</code></li><li><code>参数1</code>: 要执行的函数的类型，  <code>参数2</code>: 当前地址  <code>参数3</code>: so 路径</li></ul><pre><code class="lang-javascript">// 这是视频教程的 Demo，视频apk并不适用

// addr=地址， number 显示条数
function dis(address, number) {
    // 利用 Keystone 驱动读取 汇编指令
    for (var i = 0; i &lt; number; i++) {
        var ins = Instruction.parse(address);
        console.log(&quot;address:&quot; + address + &quot;--dis:&quot; + ins.toString()); // 指定地址反汇编
        address = ins.next;
    }
}

//libc-&gt;strstr()
function hook() {
//call_function(&quot;DT_INIT&quot;, init_func_, get_realpath());
    var linkermodule = Process.getModuleByName(&quot;linker&quot;);
    var call_function_addr = null;
    var symbols = linkermodule.enumerateSymbols();
    for (var i = 0; i &lt; symbols.length; i++) {
        var symbol = symbols[i];
        //LogPrint(linkername + &quot;-&gt;&quot; + symbol.name + &quot;---&quot; + symbol.address);

// 符号， 导出函数
        if (symbol.name.indexOf(&quot;__dl__ZL13call_functionPKcPFviPPcS2_ES0_&quot;) != -1) {
            call_function_addr = symbol.address;
            //LogPrint(&quot;linker-&gt;&quot; + symbol.name + &quot;---&quot; + symbol.address)

}
    }
    Interceptor.attach(call_function_addr, {
        onEnter: function (args) {
            var type = ptr(args[0]).readUtf8String();
            var address = args[1];
            var sopath = ptr(args[2]).readUtf8String();
            console.log(&quot;loadso:&quot; + sopath + &quot;--addr:&quot; + address + &quot;--type:&quot; + type);
            if (sopath.indexOf(&quot;libnative-lib.so&quot;) != -1) {
                var libnativemodule = Process.getModuleByName(&quot;libnative-lib.so&quot;);
                var base = libnativemodule.base;
                dis(base.add(0x8D8E).add(1), 10);
                var patchaddr = base.add(0x8d96);

// 方法1:
                Memory.patchCode(patchaddr, 4, patchaddr =&gt; {
                    var cw = new ThumbWriter(patchaddr);
                    cw.putNop();
                    cw = new ThumbWriter(patchaddr.add(0x2));
                    cw.putNop();
                    cw.flush();
                });

// 方法2:
                // console.log(&quot;+++++++++++++++++++++++&quot;)
                // dis(base.add(0x8D8E).add(1), 10);
                // console.log(&quot;----------------------&quot;)

// dis(base.add(0x8E6E).add(1), 10);
                // Memory.protect(base.add(0x8E78), 4, 'rwx');//4个字节可写权限
                // base.add(0x8E78).writeByteArray([0x00, 0xbf, 0x00, 0xbf]);
                // console.log(&quot;+++++++++++++++++++++++&quot;)
                // dis(base.add(0x8E6E).add(1), 10);

}
        }
    })
}

function main() {
    hook();
}

setImmediate(main);</code></pre><p>文章app下载：<br><div class="hideContent">此处内容需要评论回复后（审核通过）方可阅读。</div></p>

Capstone、Unicorn、Keystone

Capstone、Unicorn、Keystone

Capstone

Unicorn

Keystone

实例篇

Keystone

解锁反调试

14 comments

Leave a Comment Cancel reply

Android Okhttp3 开发与 Hook

（成品代码）入门级app逆向 - 文书网爬虫

Capstone、Unicorn、Keystone

Unicorn 模拟 CPU 调用 Native 函数

基于 Solidity 语言, 区块链 AAVE 闪电贷的实现

指弹-吉他谱

stark组件使用

IDA 的调试（上）

源码安装 mysql

Frida常用方法 [Native]

Capstone、Unicorn、Keystone