开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何通过静态分析从二进制文件中收集系统调用？

通过静态分析从二进制文件中收集系统调用可以使用以下步骤：

静态分析工具：选择适合的静态分析工具，例如IDA Pro、Binary Ninja、Ghidra等。这些工具可以帮助分析二进制文件的结构和代码。
反汇编：使用静态分析工具将二进制文件反汇编为汇编代码。这将使您能够查看程序的底层指令和函数调用。
系统调用标识：在汇编代码中，系统调用通常通过软中断指令（例如int 0x80）或系统调用指令（例如syscall）来触发。通过识别这些指令，您可以确定系统调用的位置。
系统调用编号：每个操作系统都有一组系统调用编号，用于标识不同的系统调用。您可以查找操作系统的系统调用表，以了解每个系统调用的编号。
系统调用参数：系统调用通常需要一些参数来执行特定的操作。通过分析汇编代码，您可以确定系统调用使用的寄存器或内存位置来传递参数。
数据流分析：通过静态分析工具进行数据流分析，可以帮助您确定系统调用的输入和输出数据。
代码注释：在分析过程中，您可以为每个系统调用添加注释，以便后续参考和理解。

通过以上步骤，您可以从二进制文件中收集系统调用的相关信息。这对于安全分析、漏洞挖掘、恶意软件分析等领域非常有用。

腾讯云相关产品和产品介绍链接地址：

腾讯云静态分析服务：提供了静态代码分析、安全漏洞扫描等功能，帮助用户发现代码中的安全隐患。详情请参考：https://cloud.tencent.com/product/ast
腾讯云安全管家：提供了全面的安全检测和防护服务，包括漏洞扫描、入侵检测、日志审计等。详情请参考：https://cloud.tencent.com/product/ssm

相关搜索:从调用文件中获取系统参数如何从系统调用号中获取Linux系统调用名称？如何通过BigQuery从Firebase分析中获得事件转换 magento 2中如何在静态块中调用phtml文件如何在tpl文件中调用tcpdf非静态方法如何在同一活动中从静态内部类调用非静态方法如何从远程JSON文件中仅收集特定数据使用系统调用从文件中读取变量的值 python如何从文件夹列表中收集特定文件并保存如何从二进制文件中渲染gltf？如何从调用文件中捕获异常？如何在.phtml文件中调用magento扩展的静态块？如何从其他文件中调用ansible yml文件？如何从python代码调用系统，该代码通过管道传输python创建的文件的数据？如何从扩展PHP类中的静态调用中获取类名？如何从二进制文件中读写动态数组如何通过系统调用获取CPU MHz (在/proc/cpuinfo中)？Scala -如何从scala调用Java中定义的公共静态方法？如何在主动选择参数Jenkins中通过SSH从远程系统获取文件如何从.ascx文件中调用javascript函数

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

针对解释性语言包管理器的供应链攻击研究

1 背景介绍包管理器已经成为现代软件开发过程的重要组成部分，它们允许开发人重用第三方代码、共享自己开发的代码、最小化他们的代码库，并简化构建过程。然而，在最近的报告中显示，包管理器已经被攻击者滥用来分发恶意软件，给开发人员和最终用户带来重大的安全风险。安全研究员已经发现了这种攻击，并提出了一些解决方案来解决类似问题。Zimmerman 等人系统的研究了609

02

SCA技术进阶系列（三）：浅谈二进制SCA在数字供应链安全体系中的应用

数字经济时代，随着开源应用软件开发方式的使用度越来越高，开源组件逐渐成为软件开发的核心基础设施，但同时也带来了一些风险和安全隐患。为了解决这些问题，二进制软件成分分析技术成为了一种有效的手段之一。通过对二进制软件进行成分分析，可以检测其中的潜在风险，并提供对用户有价值的信息。

03

Eunomia: 基于 eBPF 的轻量级 CloudNative Monitor 工具，用于容器安全性和可观察性（概要介绍）

Eunomia 是一个使用 C/C++ 开发的基于 eBPF的轻量级，高性能云原生监控工具，旨在帮助用户了解容器的各项行为、监控可疑的容器安全事件，力求提供覆盖容器全生命周期的轻量级开源监控解决方案。它使用 Linux eBPF 技术在运行时跟踪您的系统和应用程序，并分析收集的事件以检测可疑的行为模式。目前，它包含性能分析、容器集群网络可视化分析*、容器安全感知告警、一键部署、持久化存储监控等功能，提供了多样化的 ebpf 追踪点。其核心导出器/命令行工具最小仅需要约 4MB 大小的二进制程序，即可在支持的 Linux 内核上启动。

03

二进制程序分析指南

分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件，研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。

01

如何PWN掉西门子工控设备

在对船舶控制系统进行测试时，我们注意到控制系统对西门子Scalance工业以太网交换机的严重依赖，因此为对其进行了深入研究。经过逆向发现可使用静态密钥对管理密码进行可逆加密，并使用不同的密钥对用户密码进行可逆加密。

00

技术分享 | 如何在PyPI上寻找恶意软件包

写在前面的话大约一年前，Python软件基金会（Python Software Foundation，RFI）公开了一个信息请求（RFI），讨论的是如何检测上传到PyPI的恶意软件包，这显然是一个影响几乎每个包管理器的实际问题。事实上，像PyPI这样的包管理器是几乎每个公司都依赖的关键基础设施。这是我感兴趣的一个领域，所以我用我的想法回应我们应该如何去处理这个问题。在这篇文章中，我将详细介绍如何安装和分析PyPI中的每个包，并寻找其中潜在的恶意活动。如何寻找恶意库为了在软件包的安装过程中执行任意命令

01

Angr：一个具有动态符号执行和静态分析的二进制分析工具

什么是angr： angr是一个二进制代码分析工具，能够自动化完成二进制文件的分析，并找出漏洞。在二进制代码中寻找并且利用漏洞是一项非常具有挑战性的工作，它的挑战性主要在于人工很难直观的看出二进制代码中的数据结构、控制流信息等。angr是一个基于python的二进制漏洞分析框架，它将以前多种分析技术集成进来，它能够进行动态的符号执行分析（如，KLEE和Mayhem），也能够进行多种静态分析。 angr的基本过程： 1）将二进制程序载入angr分析系统 2）将二进制程序转换成中间语言（intermedi

05

恶意软件分析101之文件类型与指纹识别

冰封三尺非一日之寒，本篇先交付恶意软件前置知识的文件类型与指纹识别，来帮助大家打基础。

02

Rust 1.37.0 稳定版发布

Rust 1.37.0 stable 有什么？Rust 1.37.0 的亮点包括通过类型别名引用枚举变量、内置 cargo vendor、对宏使用未命名的 const、配置文件引导的优化、Cargo 中的 default-run 和枚举上的 #[repr(align(N))] 。

02

比较全面的恶意软件分析资料与项目

这是在github上找到的做恶意软件分析的资料，已经非常全面了，希望对做恶意软件检测的同学有帮助。

02

Shellcode 技术

转载：https://vanmieghem.io/blueprint-for-evading-edr-in-2022/

02

干货 | 聊聊移动端安全加固

随着移动互联网产业的高速发展，智能手机的全面普及，移动App已经无处不在。据统计，我国智能手机用户达到12亿，手机App总量达到400万款。手机APP在方便人们生活之余，也带来了巨大的安全隐患。

02

web选手如何快速卷入二进制世界

其实我是一个根本不懂技术的人，二进制我也是随便鼓捣的，大概能理解一些这样子。最近一直在试着挖皮卡丘，因为皮卡丘核心的东西都在二进制里，所以也不得不搞起了逆向。搞了段时间有点心得了想分享一下我的一些想法。简单的说，我目前认为，抛开复杂的pwn不讲，大部分时候逆向一个没有过度反调试和混淆的二进制文件整体思路和操作上是和代码审计一样的。所以我觉得对于大部分人来说简单学一学，也能挖到不少rce。由于我比较菜，所以有些东西可能讲错了或者是讲的皮毛，别太深究。这篇文章主要是给不太懂但是又想挖一挖的人看的。

02

Java Cloud Native 的未来 Graal AOT 编译器

Java 这门语言与生俱来的显著特性就是“一次编译，到处运行”，这种功能得益于 JVM 平台的支持，Java 程序通常通过将其打包为 JAR 或 WAR 包，并依赖 JVM 和 Servlet 容器来运行。其底层运行时 JVM 采用 JIT（即时编译）模式来执行程序代码，JVM 会在运行时进行编译优化和动态执行代码，这通常会导致较高的内存占用。这样的好处是采用 JIT 可以热更新和热部署程序，并且 JVM 可以在运行期间对程序进行动态分析，来实时优化程序以达到最好的性能状态。

03

（5）初识Mach-O

APP从开发到安装到手机的过程1 MJRefreshExample.app中的MJRefreshExample文件是iOS中的可执行文件，文件格式是Mach-O APP从开发到安装到手机的过程2 逆向

04

NimHollow：基于Nim实现的进程镂空PoC

NimHollow是一个基于Nim语言实现的进程镂空技术PoC，主要利用syscall系统调用实现其功能。

01

移动App入侵与逆向破解技术－iOS篇

如果您有耐心看完这篇文章，您将懂得如何着手进行app的分析、追踪、注入等实用的破解技术，另外，通过“入侵”，将帮助您理解如何规避常见的安全漏洞，文章大纲：简单介绍ios二进制文件结构与入侵的原理介绍入侵常用的工具和方法，包括pc端和手机端讲解黑客技术中的静态分析和动态分析法通过一个简单的实例，来介绍如何综合运用砸壳、寻找注入点、lldb远程调试、追踪、反汇编技术来进行黑客实战讲解越狱破解补丁和不需越狱的破解补丁制作方法和差别 ---- 黑客的素养敏锐的嗅觉有时候通过一个函数名，一个类名，就能大

07

SaltStack漏洞导致的挖矿排查思路

SaltStack是一套C/S架构的运维工具，服务端口默认为4505/4506，两个端口如果对外网开放危害非常大，黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制，调用相关函数向Salt-Minion下发指令执行系统命令，最终导致挖矿。

01

sa.sh

SaltStack是一套C/S架构的运维工具，服务端口默认为4505/4506，两个端口如果对外网开放危害非常大，黑客利用SaltStack的远程命令执行漏洞CVE-2020-11651可以直接绕过Salt-Master的认证机制，调用相关函数向Salt-Minion下发指令执行系统命令，最终导致挖矿。

02

[AI安全论文] 19.USENIXSec21 DeepReflect：通过二进制重构发现恶意行为（经典）

前一篇从个人角度介绍英文论文实验评估（Evaluation）的数据集、评价指标和环境设置如何撰写。这篇文章将带来USENIXSec21恶意代码分析的经典论文——DeepReflect，它通过二进制重构发现恶意功能，来自于佐治亚理工学院。希望这篇文章对您有所帮助，这些大佬是真的值得我们去学习，献上小弟的膝盖~fighting！同时文章末尾有我的论文感受和精句摘要，欢迎各位老师和博友批评指正。

02

Go 编程语言的真正优势是什么？

为什么Docker和Kubernetes等项目的开发者会选择 Go ？Go 的定义特征是什么，它与其他编程语言有什么不同，最适合构建什么样的项目？

04

在线教程！C++如何在云应用中快速实现编译优化？

导语 | 本文尝试在系统级的编译软件层面，挖掘云应用的性能提升空间。以C/C++应用的反馈优化技术为例，介绍业务和编译技术深度整合后产生的收益和价值，希望给相关业务的探索提供参考。一、现代云应用特征云应用特征梳理是一个非常庞大的系统工程，只有云厂商才有机会做全局剖析。一些特征沉淀成专用芯片或专用指令，比如AI芯片和新一代ARM64 CPU中的Matrix乘累加指令，或者一些RISC-V中的Protobuf加速尝试，一些特征驱动系统级的OS/编译软件优化获得普适收益。本次我们主要以典型C/C++应用展开分

01

linux后台开发常用调试工具

一、编译阶段 nm 获取二进制文件包含的符号信息 strings 获取二进制文件包含的字符串常量 strip 去除二进制文件包含的符号 readelf 显示目标文件详细信息 objdump 尽可能反汇编出源代码 addr2line 根据地址查找代码行二、运行阶段 gdb 强大的调试工具 ldd 显示程序需要使用的动态

iOS 私有 API 调用检测机制探讨

最近发现部分 App 以字符串拼接的方法调用私有 API，在提交 AppStore 审核后被发现打回修改的案例。

04

移动安全框架（MobSF）

移动安全框架（MobSF）是一个自动化、一体化的移动应用程序（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件（APK、XAPK、IPA 和 APPX）以及压缩的源代码，并提供 REST API，以便与 CI/CD 或 DevSecOps 管道无缝集成。动态分析器帮助您执行运行时安全性评估和交互式检测测试。

03

Linux下程序是怎样执行的

就会出现如下结果。ps 在此处，我们可以人为ls为可执行程序的名称，--version 是该程序需要的参数。

05

Linux上的程序是怎样运行的

就会出现如下结果。ps 在此处，我们可以人为ls为可执行程序的名称，--version 是该程序需要的参数。

03

IDA pro简介

本周分享的工具是IDA Pro 7.0。IDA Pro全称是交互式反汇编器专业版（Interactive Disassembler Professional），简称IDA，它是一种典型的递归下降反汇编器。IDA并非免费软件，但Hex-Rays公司提供了一个功能有限的免费版本。IDA是Windows，Linux或Mac OS X托管的多处理器反汇编程序和调试程序，它提供了许多功能，是一款很强大的静态反编译工具。支持很多插件和python，利用一些插件可以提供很多方便的功能大大减少工作量，在CTF中，逆向和pwn都少不了它，更多强大的功能等待童鞋们自己去学习挖掘，三言两语讲不完。它支持数十种CPU指令集其中包括Intel x86，x64，MIPS，PowerPC，ARM，Z80，68000，c8051等等。 IDA pro7.0（绿色英文版）和部分插件+ 《IDAPro权威指南第2版》已经上传至群文件，来源于：吾爱破解论坛。论坛也有汉化版，英文原版本习惯了都一样。看雪有一个 IDA pro插件收集区，大家有需要也可以去那找https://bbs.pediy.com/forum-53.htm

03

Dart 代码的组件集合Dart VM

Dart VM 从某种意义上说是一个虚拟机，它为高级编程语言提供了一个执行环境，「但这并不意味着 Dart 在 Dart VM 上执行时总是需要被解释或 JIT 编译的」。

03

OpenTelemetry 与 Go：eBPF 新世界

在 OpenTelemetry Go 项目的重大新闻中，必须包括通过引入 eBPF 技术，实现对使用 OpenTelemetry 的 Go 服务的自动 instrumentation 。之前，在自动为应用程序添加 instrumentation 方面，Go 存在严重的限制，这限制了 OpenTelemetry Go 项目的覆盖范围。之前所承诺的在 Go 应用程序中实现"自动 instrumentation "的指南，最终仍然需要对应用程序代码进行一些编辑。

01

BinAbsInspector：一款针对二进制代码的漏洞扫描和逆向分析工具

关于BinAbsInspector BinAbsInspector是一款针对二进制文件的静态分析工具，在该工具的帮助下，广大研究人员能够以自动化的形式对二进制文件进行逆向工程分析，并尝试扫描和识别其中潜在的安全漏洞。该项目是Keenlab长期维护的一个研究项目，并基于Ghidra实现其功能。当前版本的BinAbsInspector支持x86、x64、armv7和aarch64架构上的二进制文件。已实现的检测器当前版本的BinAbsInspector已经实现了下列检测器： CWE78（操作系统命

01

[系统安全] 三十九.恶意代码同源分析及BinDiff软件基础用法

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起加油~

02

FreeBuf周报 | 美当局称已捣毁僵尸网络RSOCKS；Facebook面临集体诉讼

各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！热点资讯 1. 美国当局称已捣毁感染数百万设备的僵尸网络RSOCKS 2. 年损失18亿美元！去中心化金融遭网络犯罪重创 3. BRATA Android恶意软件进化，正以英国、西班牙和意大利为攻击目标 4. 俄罗斯 APT28 黑客被指控在德国攻击北约智库 5. 谷歌专家发现Apple Safari中一个存在5年之久的在野被利用的漏洞 6. 思科不

02

微软开源对于 Solorigate 活动捕获的开源 CodeQL 查询

Solorigate 攻击的一个关键方面是供应链攻击，这使攻击者可以修改 SolarWinds Orion 产品中的二进制文件。这些经过修改的二进制文件是通过以前合法的更新渠道分发的，并允许攻击者远程执行恶意活动，例如窃取凭据，提权和横向移动，以窃取敏感信息。该事件提醒组织不仅要考虑是否准备好应对复杂的攻击，还需要考虑自己代码库的弹性。

03

Linux调试工具

Printf(“valriable x has value = %d\n”, x)

04

【云原生攻防研究】— runC再曝容器逃逸漏洞（CVE-2024-21626）

RunC是一个基于OCI标准的轻量级容器运行时工具，用来创建和运行容器，该工具被广泛应用于虚拟化环境中，然而不断披露的逃逸漏洞给runC带来了严重的安全风险，如早期的CVE-2019-5736、CVE-2021-30465。就在今年的1月31日，网络安全供应商Synk又披露了runC 命令行工具和BuildKit 组件中的4个安全漏洞，攻击者可以利用这些漏洞逃离容器的边界并发起后续攻击。这些漏洞编号分别为 CVE-2024-21626、CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653，这些漏洞被 Snyk统称为Leaky Vessels[1][2]。

01

4.6 x64dbg 内存扫描与查壳实现

LyScript 插件中默认提供了多种内存特征扫描函数，每一种扫描函数用法各不相同，在使用扫描函数时应首先搞清楚不同函数之间的差异，本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用，并实现一种内存查壳脚本，可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。

02

C和C++安全编码笔记：文件I/O

C和C++程序通常会对文件进行读写，并将此作为它们正常操作的一部分。不计其数的漏洞正是由这些程序与文件系统(其操作由底层操作系统定义)交互方式的不规则性而产生的。这些漏洞最常由文件的识别问题、特权管理不善，以及竞争条件导致。

00

HCRootkit Sutersu Linux Rootkit 分析

1、Lacework Labs在Avast公司的同事最近初步的鉴定基础之上，标识出与 HCRootkit / Sutersu Linux Rootkit活动相关的新样本和基础设施。

02

（译）33 个 Kubernetes 安全工具

Kubernetes 的安全工具多得很，有不同的功能、范围以及授权方式。因此我们建立了这个 Kubernetes 安全工具列表，其中有来自不同厂商的开源项目和商业平台，读者可以根据兴趣和需要进行了解和选择。

02

[当人工智能遇上安全] 4.基于机器学习的恶意代码检测技术详解

《当人工智能遇上安全》系列博客将详细介绍人工智能与安全相关的论文、实践，并分享各种案例，涉及恶意代码检测、恶意请求识别、入侵检测、对抗样本等等。只想更好地帮助初学者，更加成体系的分享新知识。该系列文章会更加聚焦，更加学术，更加深入，也是作者的慢慢成长史。换专业确实挺难的，系统安全也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~

03

Fuzzable：一款基于静态分析实现的可模糊测试的自动化目标识别工具

对于需要对软件进行安全评估的漏洞研究人员来说，通常会使用AFL++和libFuzzer这样的强大工具来增强基于覆盖率的模糊测试。这一点非常重要，因为它可以自动执行错误查找过程，并快速发现和利用目标中存在的安全问题。然而，遇到大型复杂的代码库或闭源二进制文件时，研究人员必须花时间手动审查并对它们进行逆向工程分析，以确定目标可以进行模糊测试。

02

Spring Boot3，启动时间缩短 10 倍！

文章发出来之后，有小伙伴问松哥有没有做性能比较，老实说，这个给落下了，所以今天再来一篇文章，和小伙伴们梳理比较小当我们利用 Native Image 的时候，Spring Boot 启动性能从参数上来说，到底提升了多少。

01

如何对二进制代码进行定向模糊测试以扫描用后释放漏洞

定向灰盒模糊测试（DGF）类似AFLGo，旨在对预先选择的潜在易受攻击的目标位置执行压力测试，应用于不同的安全场景：（1）漏洞复现；（2）补丁测试；（3）静态分析报告验证；近期，研究人员也做了很多工作，有效地提高了定向模糊测试的有效性和效率。

01

[系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起加油~

02

原创Paper | TinyInst 的插桩实现原理分析

TinyInst 是一个基于调试器原理的轻量级动态检测库，由 Google Project Zero 团队开源，支持 Windows、macOS、Linux 和 Android 平台。同 DynamoRIO、PIN 工具类似，解决二进制程序动态检测的需求，不过相比于前两者 TinyInst 更加轻量级，更加便于用户理解，更加便于程序员进行二次开发。

02

4.6 x64dbg 内存扫描与查壳实现

LyScript 插件中默认提供了多种内存特征扫描函数，每一种扫描函数用法各不相同，在使用扫描函数时应首先搞清楚不同函数之间的差异，本章内容将分别详细介绍每一种内存扫描函数是如何灵活运用，并实现一种内存查壳脚本，可快速定位目标程序加了什么壳以及寻找被加壳程序的入口点。

02

借你一双慧眼，鸟瞰二进制世界的秘密

由于Java世界的特性所致，安卓应用在代码自身保护方面一直乏善可陈。所谓的Java混淆等技术，也不过是一层簿簿的面纱，极易被撕开，毫无秘密可言。所以，当前也没有谁敢拿“面纱”作为唯一保护措施。

00

Linux进程启动过程分析do_execve(可执行程序的加载和运行)---Linux进程的管理与调度（十一）

我们前面提到了, fork, vfork等复制出来的进程是父进程的一个副本, 那么如何我们想加载新的程序, 可以通过execve来加载和启动新的程序。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭