Qiling框架中Shellcode执行问题的分析与解决方案
2025-06-07 07:18:29作者:邵娇湘
问题背景
在使用Qiling框架进行二进制分析时,许多开发者会遇到尝试执行Shellcode时出现KeyError: 'x8664'错误的情况。这个问题源于Qiling框架版本更新后API接口的变化,导致旧示例代码不再适用。
错误现象
当开发者按照旧文档中的示例代码执行Shellcode时,会遇到以下错误:
Traceback (most recent call last):
File "ql_shellcode.py", line 21, in <module>
ql = Qiling(code=shellcode, rootfs='examples/rootfs/x8664_windows', archtype='x8664', ostype='Windows', verbose=QL_VERBOSE.DEBUG)
File "/qiling/core.py", line 154, in __init__
self._arch = select_arch(archtype, cputype, endian, thumb)(self)
File "/qiling/utils.py", line 388, in select_arch
module = {
KeyError: 'x8664'
问题根源
这个错误的核心原因是Qiling框架在新版本中修改了架构类型的命名规范。旧版本中使用的是x8664这样的表示方法,而新版本中已经改为更标准的架构命名方式。
解决方案
要解决这个问题,需要按照Qiling框架最新版本的API规范来编写Shellcode执行代码。以下是正确的实现方式:
from qiling import Qiling
from qiling.const import QL_VERBOSE, QL_ARCH, QL_OS
shellcode = bytes.fromhex('''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''')
# 使用正确的架构类型和操作系统类型常量
ql = Qiling(
code=shellcode,
rootfs='examples/rootfs/x8664_windows',
archtype=QL_ARCH.X8664,
ostype=QL_OS.WINDOWS,
verbose=QL_VERBOSE.DEBUG
)
ql.run()
关键修改点
- 架构类型定义:不再使用字符串
'x8664',而是使用框架提供的枚举常量QL_ARCH.X8664 - 操作系统类型定义:同样使用枚举常量
QL_OS.WINDOWS替代字符串'Windows' - 导入路径:确保从正确的模块导入这些常量
深入理解
Qiling框架的这种变化体现了软件工程中的良好实践:
- 类型安全:使用枚举常量而非字符串可以避免拼写错误
- 可维护性:集中管理这些常量便于未来扩展和修改
- 一致性:统一的命名规范提高了代码的可读性
最佳实践建议
- 始终参考框架的最新文档和测试用例
- 使用框架提供的常量而非硬编码字符串
- 定期更新Qiling框架到最新版本
- 当遇到类似错误时,检查框架的变更日志和测试用例
通过这种方式,开发者可以避免类似的兼容性问题,并编写出更健壮、可维护的二进制分析代码。
登录后查看全文
相关内容推荐
热门项目推荐
相关项目推荐
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0216
cann-learning-hubCANN 学习中心仓,支持在线互动运行、边学边练,提供教程、示例与优化方案,一站式助力昇腾开发者快速上手。Jupyter Notebook0138
uni-appA cross-platform framework using Vue.jsJavaScript08
GLM-5.2智谱开源 GLM-5.2,这是针对长文本任务的最新旗舰模型。相较于前代产品 GLM-5.1,它在长文本任务处理能力上实现了显著飞跃,并且首次在稳定的 100 万 token 上下文中提供这一能力。Jinja00
SwanLab⚡️SwanLab - an open-source, modern-design AI training tracking and visualization tool. Supports Cloud / Self-hosted use. Integrated with PyTorch / Transformers / LLaMA Factory / veRL/ Swift / Ultralytics / MMEngine / Keras etc.Python00
tiny-universe《大模型白盒子构建指南》:一个全手搓的Tiny-UniverseJupyter Notebook03
热门内容推荐
最新内容推荐
项目优选
收起
kerneldeepin linux kernel
C
32
16
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
471
465
pytorchAscend Extension for PyTorch
Python
758
968
MindSpeed-LLM昇腾LLM分布式训练框架
Python
186
231
ops-nn本项目是CANN提供的神经网络类计算算子库,实现网络在NPU上加速计算。
C++
698
1.4 K
ops-transformer本项目是CANN提供的transformer类大模型算子库,实现网络在NPU上加速计算。
C++
878
2.03 K
docs暂无描述
Dockerfile
780
5.08 K
leetcode🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
70
22
flutter_flutter本仓库是 Flutter SDK 与 Flutter Engine 的 OpenHarmony 适配版本,由 CPF-Flutter 团队维护。开发者可使用熟悉的 Flutter 技术栈开发 OpenHarmony 应用,3.35.7 及以后的适配版本可基于本仓库源码构建支持 OpenHarmony 的 Flutter Engine。
Dart
1.04 K
271
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed.
Get Started
Rust
2.08 K
216