Unicorn Hook 详解:指令、代码块、内存、系统调用等

已于 2025-02-10 00:39:22 修改
阅读量769 收藏 8
点赞数 25
CC 4.0 BY-SA版权
文章标签: android 安全 逆向 unicorn hook 逆向分析
于 2025-02-10 00:23:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linchaolong/article/details/145539617

版权归作者所有,如有转发,请注明文章出处:https://cyrus-studio.github.io/blog/

在 Unicorn 中,Hook(钩子)用于在模拟过程中拦截 CPU 指令执行、内存访问等操作,以便分析和修改执行行为。

Hook 主要类型

Unicorn 提供了多种 Hook 类型,每种类型用于不同场景:

Hook 类型 说明 示例
UC_HOOK_CODE 拦截每一条指令执行 监控指令流,反调试
UC_HOOK_BLOCK 拦截每个基本块执行 统计基本块执行次数
UC_HOOK_INTR 拦截中断指令(如 svc #0) 监控系统调用
UC_HOOK_MEM_READ 读取内存前触发 监视变量读取
UC_HOOK_MEM_WRITE 写入内存前触发 监视变量修改
UC_HOOK_MEM_FETCH 取指令前触发 捕获未映射代码执行
UC_HOOK_MEM_READ_UNMAPPED 读取未映射内存 捕获非法内存读取
UC_HOOK_MEM_WRITE_UNMAPPED 写入未映射内存 捕获非法内存写入
UC_HOOK_MEM_FETCH_UNMAPPED 取指未映射内存 捕获非法指令执行
UC_HOOK_INSN 拦截特定指令 监控 syscall、hlt 等

Hook 指令执行 (UC_HOOK_CODE)

用途:

  • 监控所有执行的指令

  • 记录寄存器变化

  • 反调试

示例代码

from unicorn import *
from unicorn.arm64_const import *

# Hook 回调函数
def hook_code(mu, address, size, user_data):
    print(f"Executing instruction at 0x{address:X}, size={size}")

# 初始化 Unicorn ARM64
mu = Uc(UC_ARCH_ARM64, UC_MODE_ARM)

# 分配内存
BASE = 0x1000
mu.mem_map(BASE, 0x1000)

# 写入简单的 ARM64 指令
code = b"\x20\x00\x80\xd2"  # MOV X0, #1
mu.mem_write(BASE, code)

# 注册 Hook
mu.hook_add(UC_HOOK_CODE, hook_code)

# 设置 PC 并执行
mu.reg_write(UC_ARM64_REG_PC, BASE)
mu.emu_start(BASE, BASE + len(code))

输出如下:

Executing instruction at 0x1000, size=4

Hook 代码块(UC_HOOK_BLOCK )

最低0.47元/天 解锁文章

200万优质内容无限畅学
CYRUS STUDIO
关注
使用 unicorn 和 capstone 库来模拟 ARM Thumb 指令的执行,并实现多个钩子(hook)来监控代码执行、系统调用内存读写操作(二)
SXXYNHHXX的博客
11-13 1073
使用unicorn和capstone库来模拟 ARM Thumb 指令的执行,并实现了多个钩子(hook)来监控代码执行、系统调用内存读写操作。主要功能是加载一段机器码,执行这些指令,并在执行过程中打印出相关信息。这些钩子提供了对模拟器执行过程的深入监控,允许开发者在指令执行、系统调用内存操作时获取详细信息。这对于调试、分析和理解程序的行为非常有帮助。通过这些钩子,开发者可以实时观察寄存器和内存的状态变化,从而更好地理解程序的执行流程。
unicorn_pe:Unicorn PE是基于独角兽的检测项目,旨在模拟Windows PE文件的代码执行
05-14
Unicorn PE是基于的工具项目/框架,旨在模拟Windows PE文件(尤其是打包文件)的代码执行。 特征 将PE映像从emu内存中转储到文件中,修复导入表,解密VMProtect字符串,解密VMProtect导入。 对异常的部分支持。 ...
Windows平台实现内存hook,改写别人的函数
&Ψ的博客
06-23 4302
内存Hook 功能: 把其他人写的函数或者库中的函数在调用的时候跳转到自己写的函数中 1.实现所用到的Windows api //写入进程内存 WriteProcessMemory( PVZ_handle, //进程句柄 (LPVOID)address, //起始地址 date, //写入数据 sizeof(date), //写入长度 NULL);//返回值非零值代表成功。 //读进程内存 BOOL ReadProcessMemory( HANDLE hProcess,//进程句柄 PVOID pvAdd
Android安全Unicorn工具
Juruo@Security
01-14 991
Android安全Unicorn工具
逆向利器Unicorn——一款很酷的指令模拟器
weixin_43767456的博客
11-16 2980
Unicorn是一种基于QEMU的轻量级多架构CPU模拟器,可以模拟在不同的CPU架构上执行二进制代码。它提供了统一的接口,使得在不同的CPU架构上运行代码变得简单和高效。Unicorn的设计目标是提供一个轻量级、高效且可扩展的模拟器,以便在安全研究、调试和分析等领域中使用。轻量级:Unicorn模拟器在运行时占用的内存和CPU资源都非常少,可以轻松地嵌入到其他应用程序中。多架构:Unicorn支持多种不同的CPU架构,包括x86、ARM、MIPS等,可以轻松地模拟在不同的架构上执行二进制代码。
Unicorn用法示例(二)
zhangmiaoping23的专栏
06-29 1375
转:http://91fans.com.cn/post/unicorntwo/ 一、目标 前一篇文章中,我们学习了如何用Unicorn来运行一段代码,但是它的执行过程我们看不见,出了bug也没法调试,所以我们需要一个调试器来分析代码。 Tip: 本文节选自看雪,无名侠的 "UnicornAndroid 的应用", 原文链接在文末参考处 这个调试器需要有如下功能: 下断点 读写寄存器 反汇编 dump内存 单步调试(步入/步过) 快速接入各种不同的Unicorn项目 二、分析 U
逆向之unidbg补环境之各种出错集合锦囊
云霄IT的博客
06-21 3563
解决:传参数 false 的时候替换成传0。
unicorn.cr:Unicorn Engine的水晶绑定
02-05
1. **动态二进制翻译**:Unicorn提供了一种方法,将机器码转换为模拟执行的指令,这在分析未知或加密的二进制代码时非常有用。 2. **软件仿真**:通过Unicorn,开发者可以创建软件模拟器,用于测试硬件设备的驱动...
http-simple-cheatsheet:简单的HTTP状态代码速查表:unicorn_face:
02-06
HTTP(超文本传输协议)是互联网上应用最广泛的一...它可能包括了各种状态代码的详细解释,以及在什么情况下应该使用它们,是开发者日常工作中的一大助手。学习和掌握这个速查表,将有助于提升开发效率和问题排查能力。
【Windows系统编程】05.内存操作与InlineHook详解InlineHook实现)
WdIg-2023的博客
08-17 641
内存相关操作,InlineHook实现详解
Hook内存读写源代码
12-10
Hook内存读写的源代码 包含模块 直接可编译
unicorn
二进制科学的博客
01-21 1万+
Micro Unicorn-Engine API Documentation Warning: This is an unofficial API document by kabeor, If there are any mistakes, welcome to ask. 注意: 这是由kabeor制作的非官方API参考文档,如有错误欢迎提出,觉得不错可以给个star鼓励我 之前对Capstone...
Android Hook技术学习——常见的hook技术方案
最新发布
QG
02-02 1660
hook
内存访问错误,计算机系统中的“失忆症“详解
m0_72410588的博客
09-08 1408
计算机系统中的故障是开发和维护过程中常常遇到的问题。其中,内存访问错误是一类常见故障,而"Fault: Invalid Memory Reference"是其中之一。本文将对这一故障进行详细的解析和说明,旨在帮助读者更好地理解和处理相关问题。
unicorn教程一
热门推荐
Yale的博客
01-30 1万+
http://www.unicorn-engine.org/docs/tutorial.html 先来了解下什么是unicorn引擎。。 Unicorn 是一个轻量级, 多平台, 多架构的 CPU 模拟器框架. 我们可以更好地关注 CPU 操作, 忽略机器设备的差异. 想象一下, 我们可以将其应用于这些情景: 比如我们单纯只是需要模拟代码的执行而非需要一个真的 CPU 去完成那些操作, 又或者想要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值