您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

黑客交互反汇编工具Carbon,带你破解程序!

时间:2020-03-27 11:01:34  来源:  作者:

摘要: Cerbero Suite是为x86/x64设计的一款交互式反汇编工具。最初的目的是为了让我们的用户能够检查内存转储中的代码以及shellcode。如今,市面上已有非常先进的反汇编工具,如IDA和Ghidra,在我看来尝试模仿其中的一种工具是没有意义的。这也是我设计该反汇编工具的原因,同时我也考虑了客户如何使用Cerbero Suite的问题。

软件功能:

windows Dmp文件(WINDMP)

内部结构检查

可用时全面检查内存

Windows休眠文件

内部结构检查

完全检查内存

Windows原始内存映像(WINMEM)

支持所有Windows版本

检查内存中的文件

支持Windows版本的所有系统符号

检测SSDT,IDT,GDT

软件简介:

Cerbero Suite Advanced是一种专业且有用的恶意文件和文件类型分析工具。该软件支持主流文件类型,包括PE,mach-O,ELF,JAVA,SWF,DEX,PDF,DOC,XLS,RTF,Zip等。该软件提供自动分析,交互式分析,反汇编分析,字节码反汇编等。它还具有Python3 SDK,扩展支持,c ++ / PDB结构导入器等。

特性介绍

Flat 反汇编视图

Carbon带有一个显示文件中所有指令的Flat 反汇编视图。我不排除将来可能会有图表视图,但它不是我优先考虑的事情。

递归反汇编

递归反汇编程序是解决代码被数据中断的情况所必需的。Carbon将尽可能的在较短时间内完成disassemble,并同时进行基本的分析工作。

速度

Carbon是多线程的,可以非常快速地处理大型的文件。这对于文件的初始分类非常有用。

以上是大约十分钟内对60 MB chrome DLL执行的分析。这是在虚拟机中运行的。未来的挑战将是保持速度,同时增加更多的分析段落。

x86/x64 支持

Carbon同时支持x86和x64代码。将来会支持更多架构

实际上,Carbon的设计允许在相同的反汇编视图中混合架构。

不受限的数据库

一个项目在Carbon中可以包含无限个Carbon数据库。这意味着如果你正在分析包含10个可执行文件的Zip文件,那么这些文件中的每一个都可以拥有自己的数据库。

不仅如此:单个文件也可以有多个数据库,只需单击Carbon工具栏按钮或按“Ctrl+Alt+C”即可添加新的Carbon数据库。

如果你对分析不满意,那么你可以通过右键单击相关的摘要条目或选择它并按“Del”轻松删除它。

脚本

你只需几行Python代码就可以加载和disassemble一个文件。

分析完成后,我们可以修改和浏览其内部数据库的各个部分,或者我们可以创建一个视图并显示反汇编:

内部数据库使用SQLite,即使不使用SDK也可以轻松浏览和修改它。

Python 加载程序

在很早之前我就决定使用Python编写所有的文件加载程序。虽然这可能会使文件的加载速度稍慢(尽管不明显),但它允许用户自定义加载程序并添加功能,从而提供了极大的灵活性。添加新的文件加载程序也非常简单。

PE文件的整个加载程序大约有350行代码。这是原始文件的加载程序:

一旦熟悉了SDK,添加新的加载器将会非常的轻松简单。

Raw/PE 加载程序

初始文件的支持是针对PE和raw文件的。

例如,这是一些反汇编的shellcode。

在内存 PEs 中

其中一个主要的功能是分析内存中的PE文件。

这是内存中PE的代码:

当然,反汇编仅限于未被分页的内存页面,因此可能存在一些空白。

我们对这个功能不是特别了解,后续该功能也将随着即将发布的版本进行相应扩展。

交叉引用

当然,没有一个像样的反汇编程序可以缺少交叉引用这项功能:

我们还可以从设置中选择我们想要查看的交叉引用数:

重命名

我们可以在代码中命名和重命名任何位置或函数(允许重复)。即使ERROR没有指向同一位置,我们也可能有多个带有“jmp ERROR”实例的方法。

生成代码/取消定义

我们可以通过按“C”将未定义的数据转换为代码,或者相反,按“U”将代码转换为未定义的数据。

在这里,我们向shellcode添加了一个新的Carbon数据库。正如你所看到的,它最初都是未定义的数据:

在第一个字节按“C”后,我们得到一些初始指令:

但是,正如我们所看到的,突出显示的跳转无效。通过“jmp”之前的“jne”,我们可以看到我们实际上在“jmp”指令之后跳转了一个字节。所以我们要做的是在“jmp”上按“U”,然后在地址0xA的字节上按“C”。

之后,在0xA再次按“C”:

现在,我们就可以正确分析shellcode了。

函数

我们可以在任何我们想要的位置定义和取消定义函数。

例外

已支持x64异常。

注释

添加注释最重要的功能之一。

已标记的位置

你也可以通过按“Alt+M”标记位置或通过“Ctrl+M”跳转到标记的位置。

清单列表

从“Ctrl+1”到“Ctrl+4”的快捷方式可以为你展示反汇编中的各种列表。

Ctrl+1将显示入口点列表:

Ctrl+2显示函数列表:

Ctrl+3显示导入列表:

Ctrl+4显示导出列表:

字符串

可以通过按“Ctrl+5”创建:

一旦我们跳转到一个字符串,我们就可以检查代码中使用它的位置:

反汇编本身将尝试识别字符串,并在适当时将它们显示为自生成的注释:

集成

我们已经将Carbon很好地融入到了Cerbero Suite的整个逻辑中。Carbon数据库保存在Cerbero Suite项目中,就像文件分析的任何其他部分一样。

虽然Carbon已经为标记的位置提供了支持,但没有什么可以阻止你使用书签来标记位置并跳回到它们。区别在于标记的位置特定于单个Carbon数据库,而书签可以跨数据库和不同的文件。

主题

一个好的主题同样非常的重要,至少对我而言是这样的。你可以在设置中切换颜色主题。第一个版本包含以下四个主题。

Light:

Classic:

Iceberg:

Dasm:

后续也将添加更多的颜色主体,敬请期待!

上述内容不知道大家学习到了吗?网络世界的安全漏洞每天都会出现,安全知识和安全意识每个公民都应该了解和学习,有想学习网络安全技能的小伙伴可以随时私信我哦!



Tags:Carbon   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
写在前面下半年马上要搬新家了,这不就有理由和老婆申请升级下自己的主机了。本着买新不买旧的原则,第一时间在5月20号的时候购入了I5 10600k,9700k降价换标,性能挤爆的一代。奈...【详细内容】
2020-07-04  Tags: Carbon  点击:(2044)  评论:(0)  加入收藏
随着5G、AI、IoT等技术越来越普及,企业数据量增大,新的数据业务层出不穷,企业对数据分析的灵活性、性能、成本要求越来越高,基于传统大数据Hadoop系统搭建的数据分析平台已无法...【详细内容】
2020-06-21  Tags: Carbon  点击:(83)  评论:(0)  加入收藏
摘要: Cerbero Suite是为x86/x64设计的一款交互式反汇编工具。最初的目的是为了让我们的用户能够检查内存转储中的代码以及shellcode。如今,市面上已有非常先进的反汇编工具,如...【详细内容】
2020-03-27  Tags: Carbon  点击:(115)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条