文章总结： Cpueaxh是一款开源x86-64CPU仿真库，其核心创新在于通过算法完全仿真Intel指令集，支持用户态/内核态编译且性能优于Unicorn。该库支持两种内存管理模式：传统映射内存和直接在当前进程内存空间仿真，并可通过内存修补和指令钩子技术实现执行流控制，例如跳过进程创建回调函数。项目已支持x64/SSE/AVX等指令集，可用于红队绕过检测或蓝队行为分析。 综合评分： 85 文章分类： 安全工具,红队,内网渗透,渗透测试,漏洞分析

开源x86-64CPU仿真库Cpueaxh：终结基于回调与HOOK的检测对决

Saileaxh Saileaxh

看雪学苑

2026年4月2日 17:59 上海

大家好，最近开源了一个自己在做的项目：Cpueaxh

https://github.com/saileaxh/cpueaxh

与众所周知的Unicorn不同的是，该库所有指令完全参考Intel手册通过算法进行仿真，目标是尽可能还原所有指令集的原始行为。

因此该仿真库非常轻量级，支持用户态/内核态编译，而且在某些情况下比unicorn执行更快。

创新点：

比较创新的是，之前的仿真器通常只支持自行管理、映射内存并仿真（Unicorn）。

这款仿真器（Cpueaxh）不仅支持上面说的类似Unicorn的内存管理模型，还支持直接在当前进程内存空间内直接开始仿真，并且支持针对仿真Cpu修补特定地址的内存，不需要修改实际内存空间中的字节。

这意味着从此开始，我们可以完整控制我们程序中的任意执行流。

用来自key08的文章举个例子，内核中的创建进程通过PspCallProcessNotifyRoutines触发注册的进程创建回调，如果我们通过模拟执行的方式跳过这个函数的执行，就可以在完全不触发回调的情况下创建新进程。

而Cpueaxh可以通过两种方式实现： -第一种方式是通过提供的指令前、指令后的hook能力，来跳过对应的指令。

-第二种方式是直接添加修补块，可以在不真正修改对应内存的情况下，让我们的模拟CPU认为对应地址处的数据是我们修补的数据。

从蓝队角度来说，我们也可以通过这种直接在当前内存空间中的仿真能力来获得程序接下来真正将要执行的代码，从而实现对程序行为的进一步完整控制。

在例子中，我提供了完整仿真R3（MessageBoxA）和R0（DbgPrintEx）的例子，证明了Cpueaxh仿真能力的完备性。

R3:

R0:

项目地址：https://github.com/saileaxh/cpueaxh

项目将持续更新，目前已基本完整支持指令集：x64(普通指令集,SSE,SSE2,AVX,AVX2)

后续预计将支持Intel x86-64所有指令集的仿真，并且支持段选择（天堂之门）的仿真。

#

#

看雪ID：Saileaxh

https://bbs.kanxue.com/user-home-1029905.htm

*本文为看雪论坛精华文章，由 Saileaxh 原创，转载请注明来自看雪社区

往期推荐

安卓逆向基础知识之frida Hook

2025 强网杯和强网拟态部分题解

在逆向分析方面-unidbg真的适合 MCP 吗？

AI静态分析，内核模块隐藏 Frida 特征，绕过linker私有结构遍历崩溃链

某安全so库深度解析

球分享

球点赞

球在看

点击阅读原文查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 Saileaxh Saileaxh《开源x86-64CPU仿真库Cpueaxh：终结基于回调与HOOK的检测对决》