Shellcode分析非常重要。但是,静态分析效果不佳,很容易失败。此外,静态分析工具通常不是免费的。动态分析需要将shellcode加载到适当环境中的另一个进程,通常是虚拟机。PyAna的工作原理在本文中,我们将介绍一种新工具PyAna,旨在简化shellcode分析。PyAna使用Unicorn框架模拟CPU,创建虚拟Windows进程,注入shellcode进行分析。这使得无需虚拟机即可自动进行分析并提供灵活的轻量级环境成为可能。未来,PyAna将适用于其他领域的安全研究,例如模糊测试或漏洞检测。使用方法命令行类型:PyAna.py[shellcode]例如:PyAna.pySamples/UrlDownloadToFile.sc显示结果报告:依赖环境PyAna依赖以下环境:1.Unicornframework由NguyenAnhQuynh和Capstone2开发,由EroCarreraPefile目前的功能1.使用Unicorn绑定,用Python语言实现2.模拟一个简单的shellcode:calc,UrlDownloadToFile3.Windows系统结构模拟器还没有完成4.一些Win32APIhooks5.只支持32位follow-upwork1.支持Windows上的PE文件2,支持解包3,适用于fuzzing,exploitdetection下载地址:https://github.com/PyAna/PyAna
