每周学习笔记2022-8-2

每周学习，用于督促下班后好好把握自由时间来学习。

接上文，看panda。

这星期又是比较烦躁的一星期，周一到周四需要定完试用期目标，作为团队唯一一个会点二进制（漏洞挖掘和逆向方向）真的很难顶。周五要去outing一直玩到周二，真的佛了。本周学习记录只能整四天了。

Panda

https://vimeo.com/113442048

污点追踪引擎

几个很牛的特性

1.重放

2.丰富的插件

对于第一个比如逆向破解软件，找不到录入函数，直接用panda跑一波然后搜索字符串就能追踪到输入

接着自己写一些插件然后重放，直接搞定。作者这边演示了三种情形，破解 漏洞复现 和数据dump

漏洞复现对于我们漏洞挖掘还是挺有用的，可以用于检测漏洞，一些不会触发crash的漏洞。但是testcase还是需要自己去写。

但是还是有一些不确定性的。因为我看底层还是qemu，在自己的虚拟机里搭建后模拟跑操作系统然后跑软件去追踪，这样会不会巨慢？比如有个场景，通讯类软件，需要时不时发包来判断是否离线，如果跑的太慢了服务器没收到回应超时默认判定超时，永远走不到正确的路径怎么办？

当然这只是一些自己的小疑问，到底成不成还得装完才知道。

安装与使用

我的环境是Ubuntu20.04 直接运行这个install即可，安装需要一点时间，缺少的依赖自行google一下即可找到。

后面具体使用可以根据https://adalogics.com/blog/Building-a-custom-malware-sandbox-with-PANDA-Part-1文章来解决

模拟命令

remote-viewer vnc://127.0.0.1:5900

./../../panda/build/x86_64-softmmu/panda-system-x86_64 -monitor stdio -show-cursor -m 32768 ./windows.qcow2

先运行下面的然后会起一个vnc连接一下即可，推荐使用win7，win10特别卡，32位最好，当然64位也支持。

可以自己制作镜像，新建个虚拟机然后把vmdk文件复制出来后

qemu-img convert -f vmdk -O qcow2 x.vmdk x.qcow2

即可

下面是一些常用的插件命令，比如osi和stringsearch

/../../panda/build/x86_64-softmmu/panda-system-x86_64 -monitor stdio -show-cursor -m 32768 -replay todesk -panda osi -os windows-64-7sp1 -panda asidstory:width=180

./../../panda/build/x86_64-softmmu/panda-system-x86_64 -monitor stdio -show-cursor -m 32768 -replay todesk -panda stringsearch:str=calc.exe

因为panda更新了但对应的很多插件readme都没更新，-os windows-64-7sp1这个可能没写，但是源码中有。

stringsearch插件单纯吧string匹配出现处的栈回溯给打印了出来

功能已经很强大了另一个osi可以打印出基址啥的。

可以当作逆向的辅助工具。