黑客交互反汇编工具Carbon，带你破解程序！

摘要： Cerbero Suite是为x86/x64设计的一款交互式反汇编工具。最初的目的是为了让我们的用户能够检查内存转储中的代码以及shellcode。如今，市面上已有非常先进的反汇编工具，如IDA和Ghidra，在我看来尝试模仿其中的一种工具是没有意义的。这也是我设计该反汇编工具的原因，同时我也考虑了客户如何使用Cerbero Suite的问题。

软件功能：

windows Dmp文件（WINDMP）

内部结构检查

可用时全面检查内存

Windows休眠文件

内部结构检查

完全检查内存

Windows原始内存映像（WINMEM）

支持所有Windows版本

检查内存中的文件

支持Windows版本的所有系统符号

检测SSDT，IDT，GDT

软件简介：

Cerbero Suite Advanced是一种专业且有用的恶意文件和文件类型分析工具。该软件支持主流文件类型，包括PE，mach-O，ELF，JAVA，SWF，DEX，PDF，DOC，XLS，RTF，Zip等。该软件提供自动分析，交互式分析，反汇编分析，字节码反汇编等。它还具有Python3 SDK，扩展支持，c ++ / PDB结构导入器等。

特性介绍

Flat 反汇编视图

Carbon带有一个显示文件中所有指令的Flat 反汇编视图。我不排除将来可能会有图表视图，但它不是我优先考虑的事情。

递归反汇编

递归反汇编程序是解决代码被数据中断的情况所必需的。Carbon将尽可能的在较短时间内完成disassemble，并同时进行基本的分析工作。

速度

Carbon是多线程的，可以非常快速地处理大型的文件。这对于文件的初始分类非常有用。

以上是大约十分钟内对60 MB chrome DLL执行的分析。这是在虚拟机中运行的。未来的挑战将是保持速度，同时增加更多的分析段落。

x86/x64 支持

Carbon同时支持x86和x64代码。将来会支持更多架构。

实际上，Carbon的设计允许在相同的反汇编视图中混合架构。

不受限的数据库

一个项目在Carbon中可以包含无限个Carbon数据库。这意味着如果你正在分析包含10个可执行文件的Zip文件，那么这些文件中的每一个都可以拥有自己的数据库。

不仅如此：单个文件也可以有多个数据库，只需单击Carbon工具栏按钮或按“Ctrl+Alt+C”即可添加新的Carbon数据库。

如果你对分析不满意，那么你可以通过右键单击相关的摘要条目或选择它并按“Del”轻松删除它。

脚本

你只需几行Python代码就可以加载和disassemble一个文件。

分析完成后，我们可以修改和浏览其内部数据库的各个部分，或者我们可以创建一个视图并显示反汇编：

内部数据库使用SQLite，即使不使用SDK也可以轻松浏览和修改它。

Python 加载程序

在很早之前我就决定使用Python编写所有的文件加载程序。虽然这可能会使文件的加载速度稍慢（尽管不明显），但它允许用户自定义加载程序并添加功能，从而提供了极大的灵活性。添加新的文件加载程序也非常简单。

PE文件的整个加载程序大约有350行代码。这是原始文件的加载程序：

一旦熟悉了SDK，添加新的加载器将会非常的轻松简单。

Raw/PE 加载程序

初始文件的支持是针对PE和raw文件的。

例如，这是一些反汇编的shellcode。

在内存 PEs 中

其中一个主要的功能是分析内存中的PE文件。

这是内存中PE的代码：

当然，反汇编仅限于未被分页的内存页面，因此可能存在一些空白。

我们对这个功能不是特别了解，后续该功能也将随着即将发布的版本进行相应扩展。

交叉引用

当然，没有一个像样的反汇编程序可以缺少交叉引用这项功能：

我们还可以从设置中选择我们想要查看的交叉引用数：

重命名

我们可以在代码中命名和重命名任何位置或函数（允许重复）。即使ERROR没有指向同一位置，我们也可能有多个带有“jmp ERROR”实例的方法。

生成代码/取消定义

我们可以通过按“C”将未定义的数据转换为代码，或者相反，按“U”将代码转换为未定义的数据。

在这里，我们向shellcode添加了一个新的Carbon数据库。正如你所看到的，它最初都是未定义的数据：

在第一个字节按“C”后，我们得到一些初始指令：

但是，正如我们所看到的，突出显示的跳转无效。通过“jmp”之前的“jne”，我们可以看到我们实际上在“jmp”指令之后跳转了一个字节。所以我们要做的是在“jmp”上按“U”，然后在地址0xA的字节上按“C”。

之后，在0xA再次按“C”：

现在，我们就可以正确分析shellcode了。

函数

我们可以在任何我们想要的位置定义和取消定义函数。

例外

已支持x64异常。

注释

添加注释最重要的功能之一。

已标记的位置

你也可以通过按“Alt+M”标记位置或通过“Ctrl+M”跳转到标记的位置。

清单列表

从“Ctrl+1”到“Ctrl+4”的快捷方式可以为你展示反汇编中的各种列表。

Ctrl+1将显示入口点列表：

Ctrl+2显示函数列表：

Ctrl+3显示导入列表：

Ctrl+4显示导出列表：

字符串

可以通过按“Ctrl+5”创建：

一旦我们跳转到一个字符串，我们就可以检查代码中使用它的位置：

反汇编本身将尝试识别字符串，并在适当时将它们显示为自生成的注释：

集成

我们已经将Carbon很好地融入到了Cerbero Suite的整个逻辑中。Carbon数据库保存在Cerbero Suite项目中，就像文件分析的任何其他部分一样。

虽然Carbon已经为标记的位置提供了支持，但没有什么可以阻止你使用书签来标记位置并跳回到它们。区别在于标记的位置特定于单个Carbon数据库，而书签可以跨数据库和不同的文件。

主题

一个好的主题同样非常的重要，至少对我而言是这样的。你可以在设置中切换颜色主题。第一个版本包含以下四个主题。

Light：

Classic：

Iceberg：

Dasm：

后续也将添加更多的颜色主体，敬请期待！

上述内容不知道大家学习到了吗？网络世界的安全漏洞每天都会出现，安全知识和安全意识每个公民都应该了解和学习，有想学习网络安全技能的小伙伴可以随时私信我哦！