Lab15 恶意样本分析-常用的反汇编总结

最新推荐文章于 2021-07-27 17:08:36 发布
最新推荐文章于 2021-07-27 17:08:36 发布
阅读量670 收藏 1
点赞数 1
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoopherBear/article/details/106289247
版权

Lab15-01 常用的反汇编总结

在《恶意代码分析实战》的第十五章总结了一些常见的反汇编案例,包括线性返回编译器和非线性返回编译器的对抗。这里总结了其中提到的几个原理,每个都配合着实验了说明,这篇笔记只是我在做分析时的一些总结,方便后续回来看。

相同目标跳转指令

问题

在x86汇编指令中,无条件跳转指令jmp是跳转指令之一。在一些恶意样本中会针对的插入一些指令来完成这个无条件跳转,如下

在这里插入图片描述

从上面的指令看处,jz jnz都是跳转到了call的下一条指令,但是这里有一个问题,如果跳转指令要跳转到一个函数,不可能从函数的第二条指令开始执行,应该是从头开始执行,同时这个跳转地址也是红色的,因此这里的call指令是一个对抗指令。

解决

解决的办法是手动patch掉这个调用指令,每个call对应的机器码都是5个长度的指令,为了能正确时程序变得正常

  • 首先用鼠标选择call指令

  • 选中后按下D

    按下后程序会变为数据的形式,但是0xE8会被单独提出来,剩下的指令会单独成一个快,类似如下

    jz short near ptr loc_4011C5
jnz short near ptr loc_4011C5
db 0E8h
loc_4011C5: db xxx
			db xxx

  • 如上的形式后,从loc_4011C5开始使用C键转为指令,如下

在这里插入图片描述

这里需要关注的是跳转指令跳转到每一个函数快的入口应该是从第一条指令开始执行,不是从第二条指令。

固定目标跳转

问题

固定目标的跳转是程序会永远都会执行跳转,即永远为真的情况如下

在这里插入图片描述
这里的xor eax,eax会将eax置位零,同时修改ZF=1,导致jz指令会永远执行,这里同样的注意到,跳转指令

jz shor near ptr loc_4011C4+1
loc_4011C4:
	jmp near ptr 94A8D521h
解决

相同目标跳转类似,这里考虑跳转指令还是会执行到loc_4011C4的下一个指令,这是不合理的,解决办法为

  • 首先用鼠标选择jmp指令

  • 选中后按下D

    按下后程序会变为数据的形式,但是0xE8会被单独提出来,剩下的指令会单独成一个快,类似如下

    xor eax,eax;
jz loc_4011C5;
db 0E9h
loc_4011C5:
	db xxx
	db xx

  • 如上的形式后,从loc_4011C5开始使用C键转为指令,如下

在这里插入图片描述
这里还是会忽略掉0E9h这个数据转为指令。

总结1

相同目标跳转指令和固定目标跳转这两个技巧都是在jx x可以是z nz ,..,跳转指令后插入0E8(call) / 0E9 (jmp)一个字节,如下

;原始指令
jz tartget+1
jmp invalid_address
;修改后
jz target_2
db 0E9h
target:
	xxx

这两个技巧可以统称为流氓字节

案例1

这个案例样本是Lab15-01.exe,要求如下

最低0.47元/天 解锁文章
LoopherBear
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Lab05-01恶意代码分析
12-20
恶意代码分析实战 Lab05-01.dll IDA Pro 21道题详细分析
恶意代码分析实战 第十五章课后实验
Stronger_99的博客
04-30 381
问题1: 首先使用ida载入实验文件Lab15-01.exe 在main函数的位置可以看到一个跳转语句,结果为0 就跳转,上面一条语句是eax自身的异或操作,也就是无论eax里的值是什么,结果都是0,所以呢这条跳转指令就一定会执行。也就可以理解为这里采用固定条件的跳转指令来对抗反汇编技术。 问题2: 继续向下看: 可以看到这里的代码是有问题的,ida已经标注了红色。这里可以将...
汇编代码的简单分析
狐狸哥的专栏
02-26 8975
内容说明本次的内容,是一次 MOOC 课程的作业。具体的,是在 Linux 下对一段简单的 C 代码生成的汇编代码进行分析,进而了解计算机、CPU 的工作机制。 作业声明 qianyizhou17 + 原创作品转载请注明出处 + 《Linux 内核分析》MOOC 课程 http://mooc.study.163.com/course/USTC-1000029000 实验准备环境 Linux
恶意代码分析实战15-1
Yale的博客
05-29 2874
本次实验我们将会分析Lab15-01.exe文件。先来看看要求解答的问题 Q1.这个二进制程序中使用了何种对抗反汇编技术? Q2.这个二进制程序使用了什么流氓机器码来欺骗反汇编过程? Q3.这种对抗反汇编技术被使用了多少次? Q4.什么命令行参数会让程序输出“GoodJob”? 首先载入IDA进行分析 0040100e处有个jz的跳转,如果其上一条指令的结果为0则跳转 而上一条指令是异或自身,其结果一定是0,那么jz指令的跳转是一定会发生的 jz跳转的地方是loc_401010+1,也就是这里 跳转到指
学习笔记-第十五章 恶意代码分析实战
Yes_butter的博客
03-28 526
15对抗反汇编 所谓对抗反汇编技术,就是程序中使用一些特殊构造的代码或数据,让反汇编分析工具产生不正确的程序代码列表。这种技术由恶意代码编写者手工构造,在恶意代码编译和部署阶段使用一个单独的混淆工具,或是直接在源码中插入混淆代码。 所有恶意代码的设计都有特殊目的:键击记录,后门访问,使用目标系统发送大量电子邮件让服务器瘫痪,等等。 恶意代码编写者会使用对抗反汇编技术来延缓分析人员分析恶意代码...
恶意样本分析手册——理论篇
iopoint的专栏
07-27 697
0x00写在最前面 开场白:快报快报!今天是2017 Pwn2Own黑客大赛的第一天,长亭安全研究实验室在比赛中攻破Linux操作系统和Safari浏览器(突破沙箱且拿到系统最高权限),积分14分,在11支队伍中暂居 Master of Pwn 第一名。作为热爱技术乐于分享的技术团队,我们开办了这个专栏,传播普及计算机安全的“黑魔法”,也会不时披露长亭安全实验室的最新研究成果。 安全领域博大精深,很多童鞋都感兴趣却苦于难以入门,不要紧,我们会从最基础的内容开始,循序渐进地讲给大家。技术长路漫漫,我们携.
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
恶意代码分析Lab09-03
06-07
恶意代码分析Lab09-03
HCIE LAB实验考试论述分析题-版本2.5
06-01
HCIE LAB实验考试论述分析题-版本2.5,考试延期到年底,祝福大家
jupyterlab-tabular-data-editor:在JupyterLab中响应有效地处理表格数据
05-03
启动新文件并快速添加行和列 无缝地重新排列您的数据表 插入和删除多行和多列 只需单击一下按钮即可格式化数据 轻松搜索和替换 要求JupyterLab> = 2.0 安装JupyterLab 3: pip install jupyterlab-tabular-data-...
恶意代码分类
07-26
该资料很好的讲解了恶意代码的特征提取以及分类办法。
著名的CMU CSAPP:3e的Lab源码与答案 cmu 15-213
最新发布
01-12
著名的CMU CSAPP:3e的实验,里面包含了原始的Lab源码, 也有相关的书籍,非CS:APP 而是需要准备的知识,例如: c programming language (2nd edition)
Bio-Rad-Image-Lab-Software-5.2.1-Windows
04-01
Bio-Rad Image Lab Software 5.2.1 是一款专为Windows操作系统设计的高级凝胶分析软件。这个软件主要用于处理和分析生物实验中常见的凝胶电泳图像,如DNA、RNA和蛋白质凝胶图像。Bio-Rad是生物科学领域知名的仪器和...
jupyterlab-sql:JupyterLabSQL GUI
01-30
jupyterlab-sql jupyterlab-sql向JupyterLab添加了一个SQL用户界面: 通过点击界面浏览表 使用自定义查询读取和修改数据库 安装 在JupyterLab 1.x上安装 要安装jupyterlab-sql ,请运行以下命令: pip install ...
Bio-Rad-Image-Lab-Software-6.1-Windows.zip
06-16
Bio-Rad Image Lab Software是一款专为凝胶成像设计的专业软件,主要应用于生命科学领域,尤其是分子生物学实验中对DNA、RNA和蛋白质电泳凝胶的分析。此软件的6.1版本是针对Windows操作系统设计的,提供了强大的图像...
反汇编代码里面的地址_恶意代码分析对抗反汇编技巧入门
weixin_31143391的博客
01-27 403
在做恶意样本静态分析的时候会有一些样本使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。使用无效指令,对抗反汇编使用IDA打开恶意样本之后,如下所示:00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:相应的机器码:E8 8B...
恶意代码对抗技术入门
kelxLZ的博客
01-20 978
Author:ZERO-A-ONE Date:2021-01-20 来自视频《漏洞银行|浅谈恶意代码对抗技术》,主要从两个方面进行入手: 对抗反汇编 调试 一、对抗反汇编(静态) 1.1 基本概念 汇编语言:CPU执行的是机器码,为了方便记忆,在汇编语言中用助记符代替机器指令的操作码 反汇编:把目标代码转为汇编代码的过程 对抗反汇编技术:就是在程序中使用一些特殊构造的代码或数据,让反汇编工具产生不正确的汇编代码 1.2 反汇编算法 1.2.1 线性反汇编算法 线性扫描是一种基础的反汇编算法,.
恶意代码分析实战 Lab15
baidu_41108490的博客
06-05 506
lab15-01在每一个跳转地址前面都有一个E8,把他标识为数据,程序就出来了第一个比较,要求命令行参数是两个,其中一个是程序名接着是取出第二个参数的第一个字节作比较,可以知道参数是pdqlab15-02修正过程中就两个地方注意一下,其他的都跟第一题一个手法第一个是如下图,原来是个jmp语句跳到FF开始执行,也就是另一种翻译做inc和dec,所以这一段其实没有意义,选择翻译成第二个图就好,只要知道...
xor eax,eax
liu0808的专栏
10-27 6024
xor eax,eax 异或运算,操作数两数相为1;两数相同为0。由于这两个数相同,异或后等于清0 要比mov eax,0效率高
SP2019-LAB1.1&1.2-3170103456-应承峻1
08-03
(SP2019-LAB1.1) 实验数据分析和可视化 实验目的: 本实验通过使用Python的数据分析和可视化工具包,帮助学生了解如何对数据进行分析、处理和可视化。通过实验,学生将学会如何使用一些常见的数据分析和可视化工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值