怎么使用Winstrument框架
导读:本文共3604字符,通常情况下阅读需要12分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: WinstrumentWinstrument是一款针对Windows应用程序的评估框架,Winstrument是一个基于Frida实现的模块化框架,可以帮助广大研究人员对Windows应用程序进行逆向工程分析,并寻找对应的攻击面。Winstrument是基于Frida实现的,而Frida是一个功能强大的动态检测框架,它可以通过向进程中注入Javascript运行... ...
目录
(为您整理了一些要点),点击可以直达。Winstrument是一款针对Windows应用程序的评估框架,Winstrument是一个基于Frida实现的模块化框架,可以帮助广大研究人员对Windows应用程序进行逆向工程分析,并寻找对应的攻击面。
Winstrument是基于Frida实现的,而Frida是一个功能强大的动态检测框架,它可以通过向进程中注入Javascript运行时来辅助逆向工程分析和调试,而注入的运行时提供了API来实现函数的挂钩和修改。
虽然社区有很多基于Frida的工具,但是这些工具往往是一些小型的单功能脚本,很难找到一个可以用来完成逆向任务的工具。除此之外,Frida的结构可能需要我们使用大量的代码来处理回调和数据,这也增加了脚本开发的难度。
Winstrument的目标是通过创建一个简单的、模块化的框架来解决这些问题,并辅助研究人员对Windows应用程序进行分析。
Winstrument的主要功能是通过其模块来实现的,在该工具内置模块的帮助下,研究人员可以完成下列任务:
查看文件的读取和写入,以及读取或写入的字节大小;
查看注册表的读取和写入;
查看LoadLibrary()函数的调用,检查相关的DLL加载以识别潜在的DLL劫持攻击;
查看socket活动;
查看CreateProcess生成的子进程和参数;
审查命名管道相关的系统调用;
检测注册表中的CLSID键;
检测伪造进程;
Winstrument易于扩展,虽然其内置模块提供了最基本的功能,但研究人员也可以通过自定义模块来扩展其功能。Winstrument还附带了一个REPL用于管理模块、生成和检测目标进程。功能列表如下:
查看可用模块;
动态加载所需的模块;
配置设置信息并以TOML格式存储;
使用所选的模块对目标进行检测,并将输出结果存储到SQLite数据库中;
以各种格式查看和导出数据,包括table、JSON和grep-able输出;
该项目支持Python v3.7环境,如果你已经安装好了Python和pip的话,可以直接使用下列命令安装、部署和配置该工具:
接下来,使用下列命令运行该工具:
研究人员跟Winstrument的大多数交互都是通过REPL进行的,下面给出的是使用Winstrument的file_rw模块来执行检测的例子:
下面给出的是Winstrument针对notepad检测的输出样例:
本项目的开发与发布遵循GPL v3开源许可证协议。
怎么使用Winstrument框架的详细内容,希望对您有所帮助,信息来源于网络。