這篇文章主要介紹“怎么使用Winstrument框架”�����,在日常操作中�,相信很多人在怎么使用Winstrument框架問題上存在疑惑�����,小編查閱了各式資料�����,整理出簡單好用的操作方法��,希望對大家解答”怎么使用Winstrument框架”的疑惑有所幫助�����!接下來,請跟著小編一起來學(xué)習(xí)吧��!
雙清網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),雙清網(wǎng)站設(shè)計制作��,有大型網(wǎng)站制作公司豐富經(jīng)驗�。已為雙清1000多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)��。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢�����,請找那個售后服務(wù)好的雙清做網(wǎng)站的公司定做���!
Winstrument
Winstrument是一款針對Windows應(yīng)用程序的評估框架�����,Winstrument是一個基于Frida實(shí)現(xiàn)的模塊化框架����,可以幫助廣大研究人員對Windows應(yīng)用程序進(jìn)行逆向工程分析�����,并尋找對應(yīng)的攻擊面。
Winstrument是基于Frida實(shí)現(xiàn)的���,而Frida是一個功能強(qiáng)大的動態(tài)檢測框架��,它可以通過向進(jìn)程中注入Javascript運(yùn)行時來輔助逆向工程分析和調(diào)試��,而注入的運(yùn)行時提供了API來實(shí)現(xiàn)函數(shù)的掛鉤和修改�。
雖然社區(qū)有很多基于Frida的工具���,但是這些工具往往是一些小型的單功能腳本��,很難找到一個可以用來完成逆向任務(wù)的工具�。除此之外��,F(xiàn)rida的結(jié)構(gòu)可能需要我們使用大量的代碼來處理回調(diào)和數(shù)據(jù)�,這也增加了腳本開發(fā)的難度。
Winstrument的目標(biāo)是通過創(chuàng)建一個簡單的�����、模塊化的框架來解決這些問題���,并輔助研究人員對Windows應(yīng)用程序進(jìn)行分析�。
功能介紹
Winstrument的主要功能是通過其模塊來實(shí)現(xiàn)的,在該工具內(nèi)置模塊的幫助下�����,研究人員可以完成下列任務(wù):
查看文件的讀取和寫入���,以及讀取或?qū)懭氲淖止?jié)大小���;
查看注冊表的讀取和寫入����;
查看LoadLibrary()函數(shù)的調(diào)用���,檢查相關(guān)的DLL加載以識別潛在的DLL劫持攻擊�;
查看socket活動��;
查看CreateProcess生成的子進(jìn)程和參數(shù)�;
審查命名管道相關(guān)的系統(tǒng)調(diào)用;
檢測注冊表中的CLSID鍵�����;
檢測偽造進(jìn)程;
Winstrument易于擴(kuò)展��,雖然其內(nèi)置模塊提供了最基本的功能��,但研究人員也可以通過自定義模塊來擴(kuò)展其功能���。Winstrument還附帶了一個REPL用于管理模塊��、生成和檢測目標(biāo)進(jìn)程���。功能列表如下:
工具安裝
該項目支持Python v3.7環(huán)境,如果你已經(jīng)安裝好了Python和pip的話�,可以直接使用下列命令安裝、部署和配置該工具:
pip install winstrument
接下來��,使用下列命令運(yùn)行該工具:
winstrument
工具使用
研究人員跟Winstrument的大多數(shù)交互都是通過REPL進(jìn)行的��,下面給出的是使用Winstrument的file_rw模塊來執(zhí)行檢測的例子:
>winstrument
> list
Loaded Modules:
Available Modules:
dlls
com_hijack
file_rw
process
pipes
impersonate
registry
socket
> use file_rw
> set target "C:\Windows\System32\mspaint.exe"
> run
Spawned 7720
instrumented process with pid: 7720 and path: C:\Windows\System32\mspaint.exe
detached from 7720 for reason process-terminated
module time target function fh path mode bytes
-------- ------------------- ------------------ ---------- ------ ----------------------------------------------------------------------------------------------------------------------- ------------- -------
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x4d4 C:\Windows\Fonts\staticcache.dat GENERIC_READ 60
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x60c C:\WINDOWS\Registration\R000000000001.clb GENERIC_READ 5941
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x6d4 C:\Users\oster\AppData\Local\IconCache.db GENERIC_READ 140547
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x75c \\.\MountPointManager 0x0 174
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x768 C:\Users 0x100081 504
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x798 C:\Users\oster\Desktop\desktop.ini GENERIC_READ 2070
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x7d8 C:\Users\oster\Pictures\Camera Roll\desktop.ini GENERIC_READ 570
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x87c C:\Users\Public\Desktop\desktop.ini GENERIC_READ 174
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x8d4 C:\Users\oster\Dropbox\desktop.ini GENERIC_READ 176
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x908 C:\ 0x100081 402
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x914 C:\ 0x100081 298
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0xd28 C:\Users\oster\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\f01b4d95cf55d32a.automaticDestinations-ms GENERIC_READ 294329
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0xddc C:\Users\oster\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\f01b4d95cf55d32a.automaticDestinations-ms GENERIC_READ 90728
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe ReadFile 0x5f4 C:\Users\oster\Pictures\Untitled.png GENERIC_READ 40
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe WriteFile 0x450 C:\WINDOWS\Debug\WIA\wiatrace.log GENERIC_WRITE 2940
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe WriteFile 0xebc \\.\MountPointManager 0x0 5941
file_rw 2020-07-10 20:57:30 C:/.../mspaint.exe WriteFile 0x1010 C:\Users\oster
下面給出的是Winstrument針對notepad檢測的輸出樣例:
Spawned 31076
instrumented process with pid: 31076 and path: C:\Windows\System32\notepad.exe
Child removed: 31076
instrumented process with pid: 53004 and path: C:\Users\oster\AppData\Local\Temp\frida-69a0a581de60aa12d04f3bc2e3bde82d\frida-winjector-helper-32.exe
Child removed: 53004
instrumented process with pid: 33820 and path: C:\Users\oster\AppData\Local\Temp\frida-69a0a581de60aa12d04f3bc2e3bde82d\frida-winjector-helper-32.exe
Child removed: 33820
instrumented process with pid: 31092 and path: C:\Users\oster\AppData\Local\Temp\frida-69a0a581de60aa12d04f3bc2e3bde82d\frida-winjector-helper-64.exe
Child removed: 31092
detached from 31076 for reason process-terminated
module time target dll writeable_path
-------- ------------------- ------------------------------------ ----------------------------------------------- ------------------------------------------------------------------------------------------------------
dlls 2020-07-10 22:54:48 C:/.../winstrument.exe ntdll.dll C:\Python38\Scripts
dlls 2020-07-10 22:54:48 c:/.../python.exe pywintypes38.dll c:\python38\lib\site-packages\pywin32_system32\pywintypes38.dll
dlls 2020-07-10 22:54:48 c:/.../python.exe pythoncom38.dll c:\python38
dlls 2020-07-10 22:54:48 c:/.../python.exe frida-winjector-helper-32.exe C:\Users\oster\AppData\Local\Temp\frida-69a0a581de60aa12d04f3bc2e3bde82d\frida-winjector-helper-32.exe
dlls 2020-07-10 22:54:48 C:/.../frida-winjector-helper-32.exe iphlpapi.dll C:\Users\oster\AppData\Local\Temp\frida-69a0a581de60aa12d04f3bc2e3bde82d
dlls 2020-07-10 22:54:48 C:/.../notepad.exe frida-agent.dll
許可證協(xié)議
本項目的開發(fā)與發(fā)布遵循GPL v3開源許可證協(xié)議�����。
到此�����,關(guān)于“怎么使用Winstrument框架”的學(xué)習(xí)就結(jié)束了�����,希望能夠解決大家的疑惑���。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)����,快去試試吧���!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識����,請繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站����,小編會繼續(xù)努力為大家?guī)砀鄬?shí)用的文章!
新聞名稱:怎么使用Winstrument框架
本文地址:
http://weahome.cn/article/gecdcp.html
重慶分公司
重慶分公司
