恶意代码分析实战——再次脱壳
作者:互联网
QQ 1274510382
Wechat JNZ_aming
商业联盟 QQ群538250800
技术搞事 QQ群599020441
解决方案 QQ群152889761
加入我们 QQ群649347320
共享学习 QQ群674240731
纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。
叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感知防御系统/内网巡查系统
云服项目:动态扩容云主机/域名/弹性存储-数据库-云盘/API-AIeverthing
产品咨询/服务售后(同)
纸上得来终觉浅,绝知此事要躬行 !!!
寻找志同道合伙伴创业中。。。抱团滴滴aming联系方式!!
#本文为广告系统自动投放广告
# 如有侵权 删改 请速速联系我们
脱壳处理,以便进一步分析。
使用peid查壳,
对使用PECompact加壳的恶意文件进行手动脱壳,
脱壳工作主要在ollydbg进行,
期间会涉及到多次转储操作,
同时我们还会学习如何使用ollydbg的插件辅助脱壳。
恶意代码分析实战
本科/专科信息安全专业
计算机网络、操作系统
预备知识
1.Ollydbg
一个反汇编工具,又叫OllyDebug,
一个新的动态追踪工具,
将IDA与SoftICE结合起来的思想,
Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。
同时还支持插件扩展功能,是目前最强大的调试工具。
基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。
2.Peid
PEiD查壳工具这个软件可以探测大多数的
PE文件封包器、加密器和编译器。
当前可以探测六百多个不同的签名。
服务器:Windows 7
辅助工具:peid,ollydbg
将lab18-3载入peid
可以看到这个壳是PECompact
载入od
默认405130为入口点
使用od的插件来查找oep
结果如下
插件猜测的oep起始位置在40a110
但是这里的这些指令不像是oep。
而且这里它访问的值在0040a115处的栈底指针上方,
如果这个地址不是文件的入口点,
那么栈底指针之上的任何数据都不会被初始化。
重新加载
使用另外一个插件选项
结果如下
暂停在了ntdll中的一条指令上,这明显也不是oep
使用插件不行的话,
重新加载,删掉缓存
我们查看尾部跳转是否容易定位
在上图阴影指令是一条retn指令,后面是一段0字节。
我们在这里下断点,执行过来
可以看到,没有命中我们下的位置,而是显示了一个异常
说明这种方法也不起作用了
【清理缓存 重新打开】
我们查看程序默认的入口点
jmp指令会直接跳到00405138,
而00405138,00405139的pushfd,pushad会影响内存。
这些指令保存了所有的寄存器和标志信息,
加壳程序很可能在跳转到OEP之前恢复所有的寄存器和标志,
所以我们可以通过在栈上设置一个断点来尝试找到oep
在尾部跳转之前会有一个popad或popfd,将帮助我们找到oep
单步执行到call指令时
在上图右侧可以看到此时esp为 xxxxxx
右键,如下操作
将地址载入到内存转储中
选中栈顶的前四个字节,如下操作
然后执行
可以看到断在了0040754f
看到了retn 4会将程序转移到另一个位置运行,这可能是尾部跳转,
我们单步执行到这里,接着就来到了401577处
如下操作
强制od反汇编这些代码,结果如下
在右侧可以看到eip现在指向了00401577的位置
如下操作转储程序
点击get eip as oep
然后单击dump即可保存
再次使用peid查看新文件
可以看到脱壳成功了
配套学习资源
1.《恶意代码分析实战》
标签:实战,QQ,脱壳,恶意代码,oep,插件,指令,跳转 来源: https://blog.csdn.net/qq_33608000/article/details/112691405