使用IDC分析加密代码

最新推荐文章于 2023-07-31 21:22:17 发布
最新推荐文章于 2023-07-31 21:22:17 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: windows

第一步:

病毒的二进制映像被装载到IDA中,从程序的入口点开始

很明显,在调用函数call命令里的地址,没什么意义,但它给了我们一个提示,它是加密代码的所在。

第二步:

我们生成一个IDC程序来模仿解密代码:

static decrypt(from, size, key ) { 
  auto i, x;           // we define the variables//定义变量
  for ( i=0; i < size; i=i+1 ) { 
    x = Byte(from);    // fetch the byte//取原始代码
    x = (x^key);       // decrypt it//解密
    PatchByte(from,x); // put it back//放回解密代码
    from = from + 1;   // next byte//下一字节
  } 
}

我们保存它,并使用快捷键F2来装载它。

 

第三步

我们使用shift+F2来执行这段IDC程序,注意输入相应参数,注意其中的起始点地址。

现在代码已经解密了。

第四步

在解密代码的起始未知,我们使用快捷键C,将其翻译为汇编代码。

eqera
关注
专栏目录
【移动安全】ida idc脚本实现加密指令修改
Walter的专栏
11-11 4648
移动应用中对so文件,有些函数用了mprotect进行保护,即将加密数据解密后再在内存执行,然后再将内存数据加密后写回原位置,通常解密后数据具有反调试功能。 破解应对措施:ida调试跟踪后内存加密数据解密还原及加密算法提取完毕后,将密钥的内存数据和修改后的内存数据地址作为idc脚本输入,打印输出生成的加密数据或指令,从而利用UE修改so,实现永久修改的目的,后续直接跟踪调试so即可。将下面的脚本保
使用 VAULT 加密的 GITLAB CICD Pipeline
NewTyun的博客
05-11 1243
新钛云服已为您服务1486天本文的的核心内容是提供有关如何设置 Gitlab 和 Vault 以在 CI/CD 管道构建期间使用密钥。另外,本文将分解 JWT 授权过程,并解释 Gitlab + Vault 的流程。通过本文,读者最终可以实现自己的带有 Vault 密钥的 CI/CD 流程。目的在 Vault 上启用 JWT 身份验证方法利用 JWT 授权从 Vault ...
IDA利用IDC分析加密代码
12-22
IDA利用IDC分析加密代码
IDC常用系统密码破解
weixin_34206899的博客
03-13 413
IDC常用系统密码破解(一)Linux 系统密码破解 1.在grub选项菜单按E进入编辑模式 2.编辑kernel那行 /init 1 (或/single) 3.按B重启 4.进入后执行下列命令 root@#passwd root (设置root的密码) Enter new unix password:输入新的密码 ro...
利用ida的IDCpatch代码
最新发布
qq_38756333的博客
07-31 157
代码】利用ida的IDCpatch代码
IDA的脚本IDC的一个简单使用
weixin_34004750的博客
12-12 560
目的:主要是想学习一下IDA的IDC的脚本的使用。这里做了一个小的测试。 这里使用的是VS2015Community来生成文件的。 一、编写测试程序: 这里先生成我们的目标数据。 然后编写测试程序。得到下面的代码。 #include <stdio.h> #include <string.h> //the xor key is 'B' ,异或的ke...
IDA利用IDC分析加密代码.doc
07-16
IDA利用IDC分析加密代码.doc
IDA PRO 教程-IDA利用IDC分析加密代码.pdf
02-14
IDA PRO 教程-IDA利用IDC分析加密代码.pdf
IDC10:IDC-10-CM代码的解析和处理
05-23
综上所述,使用JavaScript解析和处理IDC-10-CM代码涉及到文件读取、数据解析、数据处理、错误处理等多个方面。通过合理的编程技巧和工具,我们可以构建高效、灵活的解决方案,对这些编码进行有效的管理和利用。
几个常用idc脚本
10-25
在这里汇总了几个我工作中常用idc脚本,大家一起共同进步
ida idc函数列表全集
fishmai的专栏
08-31 5118
下面是函数描述信息中的约定: 'ea' 线性地址 'success' 0表示函数失败;反之为1 'void'表示函数返回的是没有意义的值(总是0) AddBptEx AddBpt AddCodeXref AddConstEx AddEntryPoint AddEnum AddHotkey AddSourceFile AddStrucEx
170514 逆向-IDC脚本一例
whklhhhh的博客
05-15 1275
1625-5 王子昂 总结《2017年5月14日》 【连续第225天总结】 A. 加密与解密 IDC脚本的使用 100% B. IDC可以用来通过处理代码提取或处理信息 一些特殊反汇编任务需要IDC的协助。 比如对代码加密的程序,可以先用IDC先写一段解密的代码,解密后再进行反汇编 eg: push ebp mov ebp,esp sub esp,8 call 40108
加密与解密第三章:IDA的基本操作
weixin_34358365的博客
07-10 602
IDA编辑二进制代码 edit->patch program 参考:https://blog.csdn.net/hgy413/article/details/50650232 IDA打开应用程序时,会为其创建一个数据库,后缀为IDB。IDB由4个文件组成: 后缀为id0的二叉树形式的数据库,后缀为id1的程序字节标识,后缀为nam的Named窗口的索引信息,后缀为til的给定数据库的本地类型...
IDA python 备忘
weixin_44145820的博客
05-20 1370
Operands(操作数) 获取操作数的助记符我们可以调用 idc.GetOpnd(ea,long n)。 第一个参数是地址,第二个 long n 是操作数索引。第一个操作数是 0 和第二个是 1。 idc.GetOpType(ea,n)得到的操作数的类型。ea 是地址,n 是索引 o_void 如果一个指令没有任何操作数它将返回 0。 o_reg 如果一个操作数是一个普遍的寄存器将返回此类...
IDC:函数列表
小蓝人敌法的专栏
07-07 2778
IDC:函数列表 IDA为IDC脚本提供了大量的内建支持函数,用来和IDA进行交流沟通,大大提升了IDA的威力,下面我们介绍一下IDA支持的函数列表。为了描述方便,我们规定几个简称 'ea' - 代表一个线性地址'success' - 0代表失败,1代表成功'void' - 表示函数没有返回有意义的值( 可以认为返回的值为0 )'anyvalue' - 表示函数的返回值可能是任意一种类
互联网企业:如何建设数据安全体系?
weixin_33815613的博客
05-25 1509
一、背景 Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了。 虽然媒体上发表了很多谴责的言论,但实事是地讲,Facebook面临是一个业界难题,任何一家千亿美元的互联网公司面对这种问题,可能都没有太大的抵抗力,仅仅是因为全球区域的法律和国情不同,暂时不被顶上舆论的浪尖罢了。但是...
IDC脚本介绍
CharlesGodX的博客
12-06 5169
IDC语言为IDA的一种脚本引擎,它之所以叫做IDC是因为它的语法与C语言很相似,这里我参考《IDA Pro权威指南》介绍一些IDC常用的基本语法。 1.IDC的变量没有明确的类型,IDC关键字auto用于引入一个局部变量的声明,用extern关键字引入全局变量的声明,不能在声明全局变量时为其提供初始值。 Example1: auto addr, reg, val; //没有初始化声...
一次可惜的idc脚本
qq_41071646的博客
01-12 317
先提前说好   我这次脚本并没有解决问题  但是了解了很多 关于ida脚本 的东西 还是打算  聊一下的 ida脚本 其实就是 反混淆的 然后比如代码段异或什么的  也可以用ida 脚本解决 终于知道为什么说 ida 是神器了   然后这次 这个脚本虽然写的很垃圾  大佬们 凑合这看吧   这次主要是  有很多  跳转  我发现 这些跳转 都是  有一个dw  然后跳转 都是 近跳转...
元宇宙:虚与实的探索 - IDC分析
IDC(国际数据公司)分析师赵思泉指出,尽管元宇宙的概念已经很热,但目前的技术、用户规模和产品特性都处于其宏大愿景的早期阶段。 AR(增强现实)和VR(虚拟现实)被认为是实现元宇宙的重要路径,特别是VR设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值