antiVM ida pro插件-快速识别anti-vm行为

最新推荐文章于 2024-04-22 18:13:46 发布
最新推荐文章于 2024-04-22 18:13:46 发布
阅读量440 收藏
点赞数
分类专栏: 逆向 ida 文章标签: 测试工具
原文链接:https://mp.weixin.qq.com/s/2qW8Gj6fj0LPdR17-aG0yA
版权

  • 基本描述:

ida pro 插件,安装之后快速识别代码中的anti操作。以防万一,使用前可以先保存idb快照。目的是减少分析人员对抗时间。 

  • 基于Yara-Rules项目,扩充yara规则。
  • 使用al-khaser做测试和丰富特征,项目提供编译版本供大家测试。
  • 可以通过快捷键 Ctrl + atl + A 执行,也可以在plugins目录下允许。

使用演示:

  • 项目地址:

https://github.com/Hipepper/antiVM

  • 后续改进:

rules很多是宽泛的,这会导致一点点误报,比如针对进程dll的检测:

rule sandBox_usernames {
    meta:
        Author = "jentle"
        reference = "https://www.sentinelone.com/blog/gootkit-banking-trojan-deep-dive-anti-analysis-features/"

    strings:
        $s1="CurrentUser" wide
		$s2="Sandbox" wide
		$s3="Emily" wide
		$s4="HAPUBWS" wide
		$s5="Hong Lee" wide
		$s6="IT-ADMIN" wide
		$s7="milozs" wide
		$s8="Peter Wilson" wide
		$s9="timmy" wide
		$s10="user" wide
		$s11="sand box" wide
		$s12="malware" wide
		$s13="maltest" wide
		$s14="test user" wide
		$s15="virus" wide
    condition:
        any of them
}

后续还需要优化,另外对IOA的规则本地还没有丰富完。比如对CPUID,SIDT检测,基于指令的规则会带来更大的误报,后期还需要添加。

欢迎关注  TIPFactory情报工厂,获取更多对抗技术

 

 

菜鸟m号
关注
专栏目录
IDA PRO 2017年 插件大赛作品目录
lacoucou的专栏
04-13 3444
原文连接:https://hex-rays.com/contests/2017/index.shtml1.BinCAT --一等奖获得者BinCAT是:...静态二进制代码分析工具包,旨在通过IDA直接帮助逆向工程师。 它具有以下功能: 1.值分析(寄存器和内存) 2.推测分析 3.结构体重建和扩展 4.后退和前向分析IDA团队评价:这是一个复杂而有用的插件。它采用抽象解释来追踪寄存器和内存值。它...
anti-vm:检测虚拟机环境
04-04
通用VM检测器 仅需一行代码即可检测每个Windows虚拟机 为什么我们需要通用方式? 恶意软件现在比以前更聪明。 在运行之前,他们会检查环境是虚拟的还是真实的。 但是他们面临的大问题是,如何获得一种通用的方法来检测每种类型的VM? 最常见的是从win32搜索和匹配值。 但是此方法是静态的,并且适用于VM的受限版本。 如果有1000多家VM制造商怎么办? 那么您将不得不编写代码以匹配1000多个VM签名。 但是它浪费时间。 即使过了一段时间,也会有其他新的VM启动,您的脚本也将被浪费掉。 混合分析 任何运行沙箱 背景 我工作了很多个月。 我进行了许多测试,观察到: Win32_portconnector在VM上始终为空。 请查看完整报告 //asked at: https://stackoverflow.com/q/64846900/14919621 what **win32_por
IDA Pro 8.3 插件
Washinsoft
03-03 1312
这是一个专为Go语言二进制逆向工程而设计的插件,提供了一些实用的功能,方便分析Go语言程序。这个插件使用YARA规则来查找二进制文件中的加密特征,帮助分析加密算法和识别加密代码段。自动逆向工程工具,通过使用静态和动态分析技术,自动化部分逆向工程过程,提高效率。一个功能强大的IDA Pro插件,用于修改二进制文件,支持各种二进制修改需求。一个备用的IDA Pro插件,用于在逆向工程过程中进行二进制文件的修改和补丁。一个实用的脚本管理工具,用于在IDA Pro中组织和运行各种脚本。
ida_pro7.7加载不出插件
yuliana的博客
04-22 872
目前使用的ida版本是7.7绿色版,看介绍有很多插件可以使用,掏出ida想要把玩一下。当我右键发现并没有找打插件选项,直接学习结束!按照上图所说,用方案一,可能我太菜了,有些依赖一直安装不上,比如unicorn。运行idapyswitch.exe,选了一个3.10版本。最近在学习ida,发现出门就碰壁。开始愉快的pip install。不错,该有的都有了。安装上去了,进入ida右键看看。索性,换个python版本。
IDA Pro运用golang64.dll插件(来自IDA Pro8.1);IDA 识别golang函数、符号
Uchiha_duan的博客
08-28 1486
最近分析Mozi家族病毒,其[ss]ssh[/ss]样本是golang和C语言一起编译的(md5:*429258270068966813aa77efd5834a94*),本人开始使用ida Pro7.5没有成功,函数识别全靠sig文件(lscan-master),由于要分析该样本的标签,所以必须要是别出部分golang函数,这时想到了Ida pro8.0版本开始支持golang的符号解析
IDA-pro-plus-6.5-x86-arm1.7.rar
05-14
使用教程见 https://blog.csdn.net/daidi1989/article/details/86304843#comments_12203591
IDA-Pro-7.7-全插件
07-09
IDA Pro(Interactive Disassembler Professional)简称“IDA”,是Hex-Rays公司出品的一款交互式反汇编工具,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA ...
IDA Pro9-MAC版
最新发布
08-15
IDA Pro(Interactive Disassembler Professional)是一款非常强大的反汇编和反编译软件,由Hex-Rays公司开发。它被广泛用于软件逆向工程、漏洞挖掘、恶意代码分析等领域。IDA Pro能够帮助用户理解和分析应用程序的...
【反编译系列】一、反编译 .so 文件(IDA Pro) - 附件资源
11-13
【反编译系列】一、反编译 .so 文件(IDA Pro) - 附件资源
IDA-pro-7-for-Catalina-OSX-15
03-21
IDA-pro-7-for-MAC-15- 起因 IDA在MAC 10.15即Catalina上安装会报错,具体见 解决方案 在Mojave上安装之后拖入Catalina。 这个仓库的意义 提供一份本人​​已经在Mojave上安装好的IDA,亲测在Catalina上可用。 链接...
VMAttack 2016出的最新的分析vmp的ida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
VMP分析插件调试VM
07-16
VMP分析插件调试VM
详解反虚拟机技术
weixin_33962621的博客
03-22 924
为什么80%的码农都做不了架构师?>>> ...
PWN工具之IDA Pro
CYXMDTT的博客
10-22 1234
由于IDA不提供撤销的功能,如果你不小心按到某个键,导致ida数据库发生了改变,就得重新来过,所以要记得在经常操作的时候,加上快照:file-->take database snapshot。这个功能对于新手来说非常友好,在刚刚初学汇编的时候, 难免遇到几个不常用的蛇皮汇编指令,就得自己一个个去查,很麻烦,开启了自动注释的功能后,IDA就可以直接告诉你汇编指令的意思。在操作IDA的时候,经常会遇到需要创建数组的情况,尤其是为了能方便我们看字符串的时候,创建数组显得非常必要,以下我随便找了个数据来创建数组。
恶意代码分析-第十七章-反虚拟机技术
每昔的博客
09-10 1226
目录 笔记 实验 Lab17-1 Lab17-2 Lab17-3 笔记 VMware痕迹:VMware虚拟环境在系统中遗留了很多的痕迹,特别是VMware Tools安装之后。可以通过操作系统的文件系统,注册表和进程列表中的标记痕迹探测VMware的存在。                        识别进程:VMwareService.exe  VMwareTray.exe V...
IDA+VM调试分析主引导区病毒key加密算法
want的博客
08-04 777
#1.修改虚拟机vmx配置,后面附加上 debugStub.listen.guest32 = "TRUE" debugStub.hideBreakpoints = "TRUE" bios.bootDelay = "12000" bios.bootDelay = “12000” 表示12s延时等待IDA远程连接调试,默认端口为8832. #2.因为IDA默认反汇编是32位,而MBR是16位汇编代码,所以需要调整 #3.在mbr载入内存处0x7c00处下断点 #4. ...
ida主流插件使用》(1)windows下labeless插件使用
kernweak的博客
03-31 1177
以下介绍是github官方介绍的机翻 Labeless是一个多用途的IDA Pro插件系统,用于标签/注释与调试器后端同步,具有复杂的内存转储和交互式Python脚本功能。 剩下详细介绍可以去github看。 如果要同时使用x86和x86_64目标,则应对每个python发行版执行以下步骤。 设置Python 2.7(x86 / x86_64) 将deploy目录复制到要在其中使用调试器...
利用IDA的F5来反VMP2.x的Mutation保护
Lixinist的博客
04-08 1676
先说说我对IDA的看法:我怀疑IDA公司有内鬼。 我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。 F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。 但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。 用IDA...
基于LLVM编译器的IDA自动结构体分析插件
如鹿渴慕泉水的专栏
04-13 1196
引用 这篇文章旨在介绍一款对基于LLVM的retdec开源反编译器工具进行二次开发的IDA自动结构体识别插件实现原理分析 文章目录引用简介源码分析LLVM编译器简介Retdec源码分析Klee源码分析IDA插件开发分析工具安装方法工具使用介绍工具支持环境源代码编译方法工具使用效果分析之前分析之后完整流程相关引用参与贡献 简介 笔者在一款基于LLVM编译器架构的retdec开源反编译器工具的基础上,融合了klee符号执行工具,通过符号执行(Symbolic Execution)引擎动态模拟反编译后的llv
IDA PRO插件有那些
05-21
IDA PRO是一个反汇编器和调试器,它的插件可以扩展其功能,提高用户的效率。以下是一些常用的IDA PRO插件: 1. Hex-Rays Decompiler:该插件可以将反汇编代码转换为C代码。 2. IDA View-A-Function:该插件可以帮助用户更好地理解函数的结构和逻辑。 3. IDA Python:该插件允许用户使用Python语言编写脚本,以扩展IDA PRO的功能。 4. BinDiff:该插件可以帮助用户比较不同版本的二进制文件,以便进行代码分析和修复。 5. FLIRT Signature Manager:该插件可以帮助用户自动生成FLIRT签名,以便IDA PRO能够自动识别代码库。 6. IDA Debugger Bridge:该插件可以帮助用户将IDA PRO与其他调试器集成,以便进行更高级的调试和分析。 7. IDA Hex View:该插件可以帮助用户更方便地查看和编辑十六进制数据。 8. IDA Graph View:该插件可以帮助用户更好地理解代码的控制流程和依赖关系。 9. IDA Proximity Browser:该插件可以帮助用户更方便地浏览代码和函数。 10. IDA Hexrays Plugin SDK:该插件可以帮助用户编写自己的Hex-Rays Decompiler插件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值