qilingframework/qiling Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

Qiling 二进制仿真框架

概述和主要用途

Qiling是一款高级二进制仿真框架，旨在提供跨平台、跨架构的二进制文件仿真能力。它基于Unicorn引擎构建，能够在隔离环境中仿真和沙箱化机器码，支持多种操作系统（Windows、MacOS、Linux、BSD等）和架构（X86、ARM、MIPS等），以及多种可执行文件格式（PE、ELF、MachO等）。Qiling主要用于安全分析、***软件研究、固件仿真、漏洞挖掘等场景，提供丰富的API和工具，便于用户构建定制化的动态分析工具。

核心功能和特性

• 跨平台支持：Windows、MacOS、Linux、BSD、UEFI、DOS、MBR
• 跨架构支持：X86、X86_64、Arm、Arm64、MIPS、8086
• 多文件格式支持：PE、MachO、ELF、COM、MBR
• 驱动和内核模块支持：通过Demigod支持Windows驱动（.sys）、Linux内核模块（.ko）和MacOS内核（.kext）
• 隔离环境仿真：在隔离沙箱中仿真机器码，确保分析安全
• 可配置沙箱：提供完全可配置的沙箱环境，满足不同分析需求
• 多层次API支持：提供内存、寄存器、操作系统级和文件系统级的深入API
• 细粒度插桩：支持在指令、基本块、内存访问、异常、系统调用、IO等多个层级进行钩子（hook）
• 虚拟机级API：支持保存和恢复当前执行状态等虚拟机级操作
• 跨架构和跨平台调试：内置调试器，支持反向调试能力
• 动态热补丁：允许对运行中的代码（包括加载的库）进行动态热补丁
• Python框架：基于Python构建，便于快速开发定制化安全分析工具

Qiling与其他模拟器对比

Qiling vs Unicorn引擎

Qiling基于Unicorn构建，但两者定位不同：

• Unicorn：仅为CPU模拟器，专注于仿真CPU指令，不理解动态库、系统调用、可执行格式等高层概念，只能在无操作系统上下文的环境中仿真原始机器指令。
• Qiling：更高层级的框架，利用Unicorn仿真CPU指令，同时理解操作系统，具备可执行格式加载器（PE、MachO、ELF）、动态链接器（加载和重定位共享库）、系统调用和IO处理程序，可在非原生操作系统上运行可执行二进制文件。

Qiling vs Qemu用户模式

Qemu用户模式与Qiling都支持跨架构二进制仿真，但存在关键差异：

• 框架特性：Qiling是真正的分析框架，支持用Python构建自定义动态分析工具；Qemu仅是工具，非框架。
• 动态插桩与热补丁：Qiling支持动态插桩和运行时代码热补丁，Qemu不支持。
• 跨平台能力：Qiling支持跨平台（如Linux ELF在Windows上运行），Qemu用户模式仅能运行相同操作系统的二进制文件（如Linux ELF在Linux上运行）。
• 平台覆盖：Qiling支持Windows、MacOS、Linux、BSD；Qemu用户模式仅支持Linux和BSD。

安装

安装指南详见官方文档。

使用示例

示例1：在Linux机器上仿真Windows EXE

以下代码展示如何使用Qiling框架在Linux上仿真Windows可执行文件：

python
from qiling import *

# 用于仿真EXE的沙箱函数
def my_sandbox(path, rootfs):
    # 初始化Qiling引擎
    ql = Qiling(path, rootfs)
    # 开始仿真EXE
    ql.run()

if __name__ == "__main__":
    # 在指定rootfs下执行Windows EXE
    my_sandbox(["examples/rootfs/x86_windows/bin/x86_hello.exe"], "examples/rootfs/x86_windows")

示例2：动态补丁Windows ***Me

以下代码展示如何动态补丁Windows ***Me，使其始终显示"Congratulation"对话框：

python
from qiling import *

def force_call_dialog_func(ql):
    # 获取DialogFunc地址
    lpDialogFunc = ql.unpack32(ql.mem.read(ql.reg.esp - 0x8, 4))
    # 为DialogFunc设置栈内存
    ql.stack_push(0)
    ql.stack_push(1001)
    ql.stack_push(273)
    ql.stack_push(0)
    ql.stack_push(0x0401018)
    # 强制EIP跳转到DialogFunc
    ql.reg.eip = lpDialogFunc


def my_sandbox(path, rootfs):
    ql = Qiling(path, rootfs)
    # NOP掉部分代码
    ql.patch(0x004010B5, b'\x90\x90')
    ql.patch(0x004010CD, b'\x90\x90')
    ql.patch(0x0040110B, b'\x90\x90')
    ql.patch(0x00401112, b'\x90\x90')
    # 在指定地址设置钩子回调
    ql.hook_address(force_call_dialog_func, 0x00401016)
    ql.run()


if __name__ == "__main__":
    my_sandbox(["rootfs/x86_windows/bin/Easy_CrackMe.exe"], "rootfs/x86_windows")

Qltool工具

Qiling提供qltool工具，用于快速仿真shellcode和可执行二进制文件。

仿真shellcode

bash
$ ./qltool shellcode --os linux --arch arm --hex -f examples/shellcodes/linarm32_tcp_reverse_shell.hex

运行二进制文件

bash
$ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --rootfs examples/rootfs/x8664_linux/

启用GDB调试

bash
$ ./qltool run -f examples/rootfs/x8664_linux/bin/x8664_hello --gdb 127.0.0.1:9999 --rootfs examples/rootfs/x8664_linux

收集代码覆盖率（目前仅UEFI支持）

bash
$ ./qltool run -f examples/rootfs/x8664_efi/bin/TcgPlatformSetupPolicy --rootfs examples/rootfs/x8664_efi --coverage-format drcov --coverage-file TcgPlatformSetupPolicy.cov

JSON输出（主要用于Windows）

bash
$ ./qltool run -f examples/rootfs/x86_windows/bin/x86_hello.exe --rootfs examples/rootfs/x86_windows/ --console False --json

更多详情参见官方文档。

联系与支持

• 官方网站：[***]
• ：
• ***：@qiling_io
• 微博：qiling_io

核心开发者

• LAU kaijern (xwings) <***>
• NGUYEN Anh Quynh <***>
• DING tianZe (D1iv3) <***>
• SUN bowen (w1tcher) <***>
• CHEN huitao (null) <***>
• YU tong (sp1ke) <***>
• Earl Marcus (klks84) ***
• WU chenxu (kabeor) <***>
• KONG ziqiao (lazymio) <***>

许可证

本项目基于GPLv2免费软件许可证发布和分发。