打破束缚,京东安全发布强大的跨平台二进制分析框架“麒麟”

百家 作者:京东安全应急响应中心 2019-08-20 12:27:46




跨平台 & 跨CPU架构的
动态二进制文件分析框架


有世界黑客奥斯卡之称的“DEFCON黑客大会”在美国拉斯维加斯落幕,众多精彩的议题让人印象深刻。这其中,来自京东牧者安全实验室(The Shepherd Lab)负责人Kaijern(xwings)向外界首次发布了一个功能空前强大的跨平台和CPU架构的动态二进制文件分析框架 —— 麒麟框架(Qiling),让人在场的观众记忆深刻,纷纷索取试用。



传统的二进制分析方法虽然可以确保较高的代码覆盖率,但普遍存在成本高、精确性不尽人意、对无法获取源代码的文件分析能力不足等先天缺陷。

京东牧者安全实验室本次发布的“麒麟框架(Qiling)”则打破了传统分析方法的多种束缚。


最好用的动态二进制文件分析框架

“麒麟”支持的动态二进制插桩(Code Instrumentation)框架,允许随意修改目标文件的运行行为,方便研究人员执行不同格式和架构的文件,全方位的分析不同的代码路径,从而在没有源代码的情况下,完美应对代码混淆技术,轻松突破目标文件的反逆向防御。


相较于传统动态二进制分析程序仅支持特定的CPU架构和系统平台,“麒麟框架”可以在Linux、BSD、OSX或Window等多种系统平台中运行,且没有CPU架构的限制。
比如:在x86_64的Linux上运行时,“麒麟框架”可以运行或分析MIPS , ARM或ARM 64的ELF或者PE文件。

可以说,“麒麟框架”是目前市面上支持平台/架构最广的动态二进制分析框架。


在未来版本,“麒麟框架”还将增加对最强的逆向工程套件Ghidra,和反汇编工具IDA Pro的支持。

京东牧者安全实验室(The Shepherd Lab)负责人Kaijern(xwings)在DEFCON介绍“麒麟框架”
 
 
原生支持海量IoT设备


“麒麟框架”中原生提供了大量的虚拟IoT硬件,这了改变传统的IoT分析方式,打破了IoT固件只能在弱小的硬件或者原始的虚拟机上,以极少的资源fuzz或分析的窘境。极大的提升了IoT设备的分析效率。



不止于文件分析

 

“麒麟框架”采用“Python3”作为主要开发语言的开源框架,大大降低了二次开发的门槛。开发者可以依托“麒麟框架”定制搭建自己的工具。你不仅可以使用“麒麟”挖漏洞、病毒沙箱(Sandbox),甚至可以用来打CTF(比如算序列号、暴力破解等)。只要你敢想,一切意想不到的工具,均可以使用“麒麟框架”来实现。



如何使用


目前“麒麟框架”已进入邀请测试阶段,有兴趣试用的同学,可将你的GitHub或Gitlab地址发送至邮箱:info@qiling.io,将有机会获得测试资格。



 

关注JSRC

了解更多“麒麟框架”



关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接