scdbg是一款多平臺(tái)開(kāi)源的Shellcode模擬運(yùn)行、分析工具。其基于libemulibrary搭建的虛擬環(huán)境，通過(guò)模擬32位處理器、內(nèi)存和基本W(wǎng)indows API運(yùn)行環(huán)境來(lái)虛擬執(zhí)行Shellcode以分析其行為。有了虛擬執(zhí)行媽媽再也不用擔(dān)心我的電腦中病毒了。

基本原理

眾所周知，shellcode為了實(shí)現(xiàn)特定的功能必須通過(guò)調(diào)用系統(tǒng)API來(lái)完成－不論先前怎怎么變形怎么加密最后都會(huì)調(diào)用系統(tǒng)API。scdbg就是通過(guò) 模擬執(zhí)行以及hook多達(dá)200多個(gè)API來(lái)探測(cè)shellcode的行為。當(dāng)然比如創(chuàng)建文件和訪(fǎng)問(wèn)網(wǎng)絡(luò)這些危險(xiǎn)的API并沒(méi)有真正的在本機(jī)執(zhí)行，而是通 過(guò)傳回虛假的返回值來(lái)欺騙shellcode讓其平穩(wěn)運(yùn)行。

直接命令行輸入scdbg.exe example.sc?來(lái)看看輸出：

其中example.sc文件就是以二進(jìn)制形式保存的Shellcode,我們可以看到這段shellcode調(diào)用了兩次較關(guān)鍵的函數(shù) －CreateProcessA，第一次調(diào)用tftp.exe程序下載winapi32.exe,第二次準(zhǔn)備執(zhí)行之。很典型的下載并執(zhí)行行為。有了 scdbg我們就不必花很多時(shí)間在搭建測(cè)試環(huán)境、解碼shellcode、調(diào)試?yán)斫飧鞣N分枝跳轉(zhuǎn)、擔(dān)心機(jī)器是否中招。。。。。。簡(jiǎn)單明了。

scdbg和通常的命令行工具一樣，有著眾多參數(shù)選項(xiàng)，這里只做最基本的演示，就不一一列舉。想必大家都有在命令行下痛苦的經(jīng)歷，命令行的歷史就是我等小菜的血淚史，還好scdbg有GUI圖形界面版：

指定偏移，自定參數(shù)一目了然。