首页
论坛
课程
招聘
[原创]用麒麟框架深入分析实模式二进制文件
2020-9-6 02:36 5776

[原创]用麒麟框架深入分析实模式二进制文件

2020-9-6 02:36
5776
收藏
点赞7
打赏
分享
打赏 + 1.00
打赏次数 1 金额 + 1.00
 
赞赏  Editor   +1.00 2020/09/07 精品文章~
最新回复 (33)
雪    币: 513
活跃值: 活跃值 (371)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
澪同学 活跃值 2020-9-8 12:33
26
0

-

最后于 2020-9-8 12:34 被澪同学编辑 ,原因: 和楼下重复删除
雪    币: 513
活跃值: 活跃值 (371)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
澪同学 活跃值 2020-9-8 12:34
27
0
tDasm 这个时候还有模拟dos操作系统的?浪费精力。完全可以去掉这部分,把工作重点转移到模拟windows、安卓上来。
除了DOS还有很多地方是实模式的,比如传统的BIOS和MBR。本文中例子的勒索病毒Petya就是一个寄居在MBR的病毒。麒麟框架作为一个模拟分析框架,只要是有分析价值的东西都乐于实现的。
雪    币: 7488
活跃值: 活跃值 (579)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
tDasm 活跃值 2020-9-8 13:29
28
0
澪同学 除了DOS还有很多地方是实模式的,比如传统的BIOS和MBR。本文中例子的勒索病毒Petya就是一个寄居在MBR的病毒。麒麟框架作为一个模拟分析框架,只要是有分析价值的东西都乐于实现的。
16位实模式下读取MBR并运行,只需模拟传统BIOS中断调用,用不着模拟DOS?DOS调用中断是从int20h到int2?h,其中绝大分调用是int21h。当然作为入门练手,模拟DOS也未偿不可。毕竟模拟windows的难度是模拟DOS的n倍。
雪    币: 8712
活跃值: 活跃值 (798)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
bxc 活跃值 6 2020-9-8 14:50
29
0
老铁, 你blog的https证书过期了.
雪    币: 513
活跃值: 活跃值 (371)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
澪同学 活跃值 2020-9-8 15:15
30
0
bxc 老铁, 你blog的https证书过期了.
多谢提醒。已经换了。
雪    币: 513
活跃值: 活跃值 (371)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
澪同学 活跃值 2020-9-8 15:22
31
0
tDasm 16位实模式下读取MBR并运行,只需模拟传统BIOS中断调用,用不着模拟DOS?DOS调用中断是从int20h到int2?h,其中绝大分调用是int21h。当然作为入门练手,模拟DOS也未偿不可。毕竟 ...
事情要比你想象的复杂。首先实现传统BIOS中断调用就不是一件简单的事情,毕竟那个年代BIOS由于历史原因有各种奇葩的坑,其次计算机硬件是有很多周边硬件的,比如RTC硬件8253/8254,中断芯片8259,这些都需要软件实现的,看一看bochs或者qemu hardware目录下的代码量就知道这也不是简单的事情。
另外我刚才就强调过了,MBR也好,DOS也好,Windows也是,只要是有分析价值的东西麒麟都是乐于实现的,这才叫框架。
至于你一直心心念念的Windows,我们的确已经在做了,有兴趣可以来提交你的第一个PR。:)
雪    币: 8712
活跃值: 活跃值 (798)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
bxc 活跃值 6 2020-9-8 17:05
32
0
澪同学 事情要比你想象的复杂。首先实现传统BIOS中断调用就不是一件简单的事情,毕竟那个年代BIOS由于历史原因有各种奇葩的坑,其次计算机硬件是有很多周边硬件的,比如RTC硬件8253/8254,中断芯片82 ...
楼主是京东安全的吗?
雪    币: 513
活跃值: 活跃值 (371)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
澪同学 活跃值 2020-9-8 17:15
33
0
bxc 楼主是京东安全的吗?
是。
雪    币: 3747
活跃值: