恶意代码分析实战 15 加壳与脱壳

最新推荐文章于 2024-04-18 15:24:36 发布
最新推荐文章于 2024-04-18 15:24:36 发布
阅读量398 收藏 1
点赞数
分类专栏: 恶意代码分析实战 文章标签: windows linux 运维 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61823031/article/details/128758349
版权

分析样本Lab18-01.exe到Lab18-05.exe。

15.1 Lab18-01

将程序拖入PEiD。
vmware_4z2gVbNTrb.png
使用深度搜索,发现是UPX的壳。
vmware_tFXJDW0633.png
拖入OD中进行脱壳。手动脱壳的目的就是找到OEP也就是程序的原始入口点,最常见的方法就是查找尾部跳转指令,一般是JMP指令,但是恶意代码的作者有时候也会选择return指令逃避检测。尾部跳转指令是一串无效字节前面的最后的一条有效指令,填充这些字节的目的就是保证区段中的对齐。
按F8手动执行代码,如果有向上跳转,那么我们在下一句命令下一个断点,然后运行到下一句。(或直接按F4)
vmware_SelULVhwuV.png
找到尾部跳转指令的位置为0x409f43.在IDA中查看。
vmware_gOkAg6x4H6.png
在OD中继续运行。
vmware_bBT7L4QtR9.png
将代码提取出来。
vmware_2eHPEsG5YK.png
vmware_23lqMNCDZO.png
取消重建输入表的选项,导出程序unpack.exe。
使用importREC导入程序。
vmware_jJFu1VkjKv.png
修改OEP,点击自动查找IAT。
vmware_lVWDQ6Hdsq.png
vmware_vatbpTJ5ks.png
点击获取输入表。
vmware_ViZVWy6vNU.png
说明已经成功了。
vmware_fxQyrhLd1n.png
脱壳成功。
vmware_M1cecN9CNV.png

15.2 Lab18-02

载入OD,使用插件寻找OEP。
vmware_45YXqdYYyo.png
OD识别错误。
vmware_BesqOoXMxN.png
vmware_sRgq7MOpGs.png
dump出程序。
vmware_lcMFPpLlcc.png
使用impoortREC修复输入表。
vmware_g4aoh9YNwd.png
脱壳成功。
vmware_u9MQVBBGYd.png

15.2 Lab18-03

使用插件,查找一连串0签的ret无果后,使用esp定理查找。
vmware_nMJlHcfGoH.png
存在pushad,自然也就会存在popad。
vmware_OU4Oo6yCea.png
设置硬件断点。
vmware_AXev3PY9aC.png
找到oep。
接下来的操作是,dump出程序,使用importREC修复输入表。

15.3 Lab18-04

同样是使用ESP定律。
vmware_5IsdzkI6aR.png
跳转到断点之后,继续运行几步就可以找到oep。
vmware_oDtcmk2Lwh.png

15.4 Lab18-05

同样是EXP定律,只不过有一个地方需要注意。
vmware_rUJfvKgIms.png
vmware_FxbpBbgFC0.png

Day-3
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跟我学汉化-加壳脱壳
08-10
绍跟我学汉化-加壳脱壳
UPX加壳脱壳
02-26
upx加壳脱壳机(UPX Easy GUI)绿色汉化版upx极速加壳脱壳 为EXE可执行应用程序添加和除去UPX壳的工具 界面友好速度快是它的特点,做软件的朋友不妨一试。
浅谈恶意代码的研究分析
weixin_68789096的博客
04-25 628
恶意代码(malicious code)是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑 数据的安全性和完整性的目的。恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用,其中包含了傀儡程序与傀儡网络、Rootkit、社交 工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往,而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济 体。
安全防御 --- 恶意代码、防病毒
热门推荐
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序,病毒夺取控制权;将病毒程序嵌入感染目标中。
恶意代码分析——基础技术
Woolemon的博客
04-05 8190
恶意代码分析目的 获取特征码 撰写分析报告 制作专杀工具 恶意代码分析方法 静态分析基础技术(快速分析技术):检查可执行文件但不查看具体指令的一些技术。静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让我们生成简单网络特征码。 动态分析基础技术:涉及运行恶意代码并观察系统上的行为,以移除感染,产生有效的检测特征码,或者两者。 静态分析高级技术:主要是对恶意代码内部机制的逆向工程,通过可执行文件装载到反汇编器中,查看程序指令来发现恶意代码做了什么。 动态分析高级技
【笔记】恶意代码分析实战-18(加壳脱壳)
weixin_45880501的博客
11-09 98
加壳可执行文件的两个主要目的是。虽然加壳器的种类繁多,但是它们都遵循相似的模式:将一个可执行文件转换创建一个新的可执行文件,被转换的可执行文件在这个新的可执行文件中作为数据存储,另外新的可执行文件还包括一个供操作系统调用的。
20222944 2022-2023-2 《网络攻防实践》实践八报告
weixin_42400964的博客
04-27 228
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
恶意代码分析实战 第十八章课后实验
Stronger_99的博客
05-04 464
Lab18-01.exe 首先使用peid进行查壳: 这是一个UPX壳。 下面进行脱壳操作: 将实验文件载入OD: 可以看到一开始进来就来到了这个位置,这个很明显不是OEP,那么就来找一下,最常用的方法就是查找尾部跳转指令。通常情况下,它会是在一段无效字节前的jmp指令: 可以看到409F43就是这个尾部跳转指令,先下断点然后执行,取消断点在步过。 然后就来到了这...
恶意代码分析实战—第18章加壳脱壳
weixin_41487541的博客
03-15 615
脱壳存根 被加壳程序中的脱壳存根由操作系统加载,然后脱壳存根负载加载原始程序。对于加壳程序来说,可执行程序的入口点指向脱壳存根,而不是原始代码。原始程序通常存储在加壳程序的一个或多个附加节中。 脱壳存根执行了以下三步操作: 1. 将原始程序脱壳到内存中; 2. 解析原始可执行文件的所有导入函数; 3. 将可执行程序转移到原始的程序入口点(OEP)。 尾部跳转 一旦脱壳存根完成脱壳,他就必须转到OEP运行。转到OEP的指令通常被叫做尾部跳转指令(jmp、ret、call)。 书中对于脱壳
恶意代码加壳
weixin_30599769的博客
10-29 639
混淆程序是恶意代码编写者用于隐藏其执行过程的代码。加壳程序是混淆程序中的一类,加壳之后的程序会被压缩,使得含义分析。 判断程序是否加壳一个模糊的判别规则是,正常程序中的字符串往往会很多,而被加壳或混淆后的程序能够获取到的,能直接打印出的字符串却很少。 注意 加壳和混淆代码通常至少会带有LoadLibrary和GetProcAddress函数,主要是用于加载和使用其他函数的功能。 在加壳程序运行前...
恶意代码分析实战Lab03-01
qq_53184526的博客
10-23 1076
恶意代码分析实战Lab03-01.exe
加壳脱壳工具
10-24
吾爱软件加壳脱壳工具箱是一款专业的软件加壳脱壳工具软件,您可通过吾爱软件加壳脱壳工具箱为软件加壳脱壳,功能强大,使用简单,并且此款软件完全免费使用,喜欢的朋友不要错过,欢迎下载使用
UPX加壳/脱壳程序
07-04
UPX原来是命令行程序,现在给UPX加壳/脱壳程序,增加图形界面外壳,方便使用
恶意代码分析之API hash反静态分析.pdf
11-15
恶意代码分析中, Windows 平台的 API 函数是非常重要的信息来源, 比如通过分析恶意代码使用的 API 函数, 我们不需要对已加壳的文件进行逆向分析,因为我们只需要对恶意代码所执行的 API 调用来进行动态分析,...
JAVA 集合框架(二) List集合详解和常用方法
云恒要逆袭的博客
04-18 383
获取指定元素在列表中最后一次出现的索引,如果列表中不包含该元素则返回-1。// 创建一个 List 集合// 获取"Banana"在集合中最后一次出现的索引// 若集合中不含"Banana",则输出-1// 输出:5。
stream流
qq_40603125的博客
04-11 646
lambdastream数组集合简洁可读性。
Java将List平均分成多少份或者按照指定大小进行分割
最新发布
weixin_44953227的博客
04-18 223
Java将List平均分成多少份或者按照指定大小进行分割 此方法其实就是将一个列表按照指定份数或者指定大小对数据列表进行分割,如果不能整除则会将剩余的放到最后一个数组。
酒店管理系统
weixin_43654123的博客
04-18 324
基于springboot+vue前后端分离的酒店管理系统
【做算法学数据结构】【链表】删除排序链表中的重复元素
yh4494的博客
04-18 398
当涉及到数据结构时,链表是一种常见且重要的数据结构。链表由一系列节点组成,每个节点包含数据和指向下一个节点的引用。相比于数组,链表的大小可以动态地增长或缩小,因为每个节点只需要存储自己的数据和指向下一个节点的引用。
upx脱壳加壳导出附加数据
06-20
但在一些情况下,需要对UPX压缩后的文件进行脱壳,使其恢复为原始的可执行文件,或者加壳,使其变得更加安全。此外,UPX还支持导出附加数据,这些数据可以包含一些额外的信息,如程序的版本、作者、网站等,这些信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值