При анализе вредоносного ПО часто возникает потребность в эмуляции исполняемых двоичных файлов в кросс-платформенных средах и на разных ОС, будь это Windows PE в Linux, Linux ELF на Windows, или DOS на MacOS.

До недавнего времени для такого швейцарского ножа приходилось иметь под рукой множество эмуляторов и отладчиков, но в конца 2019 года малазийский исследователь Лау Кайджерн (Lau Kaijern) опубликовал в открытый доступ свой новый инструмент — Qiling, который сейчас активно развивается. Над проектом работает не один Лау, и ребята позиционируют свое детище как ядро для других более высокоуровневых проектов, параллельно докручивая функциональность и гибкие возможности API.

Фактически Qiling — это кросс-платформенный фреймфорк на Python, позволяющий вам эмулировать исполняемые файлы, будь это обычные PE, прошивка для вашего роутера или IoT устройства или даже UEFI. А благодаря поддержки API, Qiling можно использовать как вспомогательный инструмент для Ghidra, IDA Pro и пр.

GitHub > https://github.com/qilingframework/qiling
Архитектура Qiling и примеры использования > https://blog.lazym.io/2020/09/05/Dive-deeper-Analyze-real-mode-binaries-like-a-Pro-with-Qiling-Framework/
Обнаружение множественных вызовов Windows API с помощью Qiling > https://lopqto.me/posts/automated-dynamic-import-resolving