Description

PyREBox es un entorno limitado de ingeniería inversa que se puede programar en Python. Se basa en QEMU y su objetivo es ayudar a la ingeniería inversa proporcionando capacidades de análisis y depuración dinámicas desde una perspectiva diferente. PyREBox permite inspeccionar una máquina virtual QEMU en ejecución, modificar su memoria o registros e instrumentar su ejecución mediante la creación de scripts simples en python para automatizar cualquier tipo de análisis. QEMU (cuando funciona como un emulador de todo el sistema) emula un sistema completo (CPU, memoria, dispositivos ...). Mediante el uso de técnicas de VMI, no requiere realizar ninguna modificación en el sistema operativo invitado, ya que recupera información de su memoria de manera transparente en tiempo de ejecución ...

Varios proyectos académicos como DECAF, PANDA, S2E o AVATAR, han aprovechado previamente la instrumentación basada en QEMU para superar las tareas de ingeniería inversa. Estos proyectos permiten escribir complementos en C / C ++ e implementar varias funciones avanzadas, como el análisis dinámico de la corrupción, la ejecución simbólica o incluso el registro y la reproducción de los rastreos de ejecución. Con PyREBox, nuestro objetivo es aplicar esta tecnología centrada en mantener el diseño simple y en la facilidad de uso del sistema para los analistas de amenazas.

Categorías