Capstone、Unicorn、Keystone 工具的介绍 在逆向工程和二进制分析领域，有三个基于同一技术体系的工具经常被配合使用：Capstone（反汇编引擎）、Unicorn（CPU 模拟器）和 Keystone（汇编引擎）。它们三者都基于 QEMU 的相关技术，分别覆盖了二进制分析中"反汇编→模拟执行→汇编"的完整链路。本文将详细介绍这三个工具的定位、功能和使...

Unicorn 工具的入门和实际使用 Unicorn 是一个开源的跨平台 CPU 模拟器框架，基于 QEMU 二进制翻译技术构建，支持 ARM、ARM64、x86、x64、MIPS、PowerPC、SPARC 等多种 CPU 架构。它是逆向工程、安全研究、恶意代码分析等领域中非常重要的工具之一。本文将从基础概念入手，详细介绍 Unicorn 的实际使用方法。 Unicorn 引擎架构 U...

Unicorn 模拟调用 SO 文件和 JNI 接口函数，包括 JNI_OnLoad 在 Android 逆向工程中，很多时候我们需要在不依赖真机的情况下分析 SO 文件中的算法逻辑。Unicorn 作为一个轻量级的 CPU 模拟器框架，提供了底层的指令模拟能力。本篇将介绍如何使用 Unicorn 引擎加载 SO 文件、模拟 ARM 环境、调用 JNI_OnLoad 以及处理 JNI 接口...

Unidbg 使用和加载 SO 文件的方法 在 Android 逆向工程中，分析 Native 层的 SO 文件是一项核心任务。传统方式需要真机或模拟器配合 Frida 等工具进行 hook，但这种方式存在设备依赖、环境复杂、调试不便等问题。Unidbg 作为一个基于 Unicorn 的 Android Native 模拟执行框架，能够在纯 PC 环境中模拟执行 SO 文件中的函数，极大地...

AndroidNativeEmu 调用 JNI 函数和模拟 Java 函数交互 AndroidNativeEmu 是一个基于 Unicorn 引擎的 Android Native 函数模拟执行框架，用 Python 编写。它提供了比原生 Unicorn 更高级的抽象，能够模拟 JNI 环境、加载 SO 文件、调用导出函数等。与 Unidbg（Java 实现）相比，AndroidNative...