ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)

最新推荐文章于 2024-04-12 09:52:20 发布
最新推荐文章于 2024-04-12 09:52:20 发布
阅读量493 收藏
点赞数
分类专栏: windows 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jentle8/article/details/127657300
版权

🙃前言

在恶意软件对抗中,经常遇到字符串自解密函数,并且大部分使用的频率还不低。如果算法是基本的f(a) = b模式的话,可能首先想到的是动态调试拿解密后字符串,但是这样效率很低。🌚

或者使用ida pyhton来本地写出解密方案,再通过一层层寻找解密相关的传参指令找到需要的input。这种方法比较通用,但是找参数的话可能会遇到字符串传参形式多变的情况。
比如开发者使用堆栈字符串传参,在另一个地方使用动态生成。谁也不想对抗脚本里面全是if else try等…

在早些时候📣曾在kx上发过类似的解密案例

本次使用的样本是👉360NetLab中的僵尸网络 Orchard
md5: cb442cbff066dfef2e3ff0c56610148f。你可以在公众号内回复cb442cbff066获取样本,但是毕竟是恶意样本,请在隔离环境分析运行🤐。

🙏简单分析

我们不去关注样本的其他行为,这不是帖子的主要目的,主要是针对其解密函数位置,把堆中的字符串存放到栈中,然后创建解密对象,传递给解密函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3SWmqR1B-1667388399862)(/pngs/1.png)]

解密函数经过分析复原如下:

def decrypt(data):
    alphabet = "!\"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyzw"
    decrypted = ""
    for b in data:
        if (b != 0):
            decrypted += alphabet[b - 1]
    return decrypted

print(decrypt([0x4b,0x45,0x52,0x4e,0x45,0x4c,0x13,0x12,0x0e,0x44,0x4c,0x4c,0x0d]))

结果kernel32.dll

其中,经过调用分析发现:
EDX指向偏移的首地址
EAX中保存的值减去首地址,除以4就是字符串长度
ECX this 指针

例如,如图所示,EDX指向0x19F8E4,即指向33、39、33、34、25、2D、24、32、29、36、25,这等同于SYSTEMDRIVE字符串。在EAX中,我们有0x19F910,因此(0x19F920–0x19F8E4)/4=11

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8WZwNJv0-1667388399863)(/pngs/2.png)]

代码模拟

我们将使用flare-emu🚩进行代码模拟。安装可以参考官网,很简单。首先要明确我们的需求,解密函数的方法已知了,重要的是搞定参数,脚本如下:

import flare_emu
import binascii
import struct

def iterateCallback(eh, address, argv, userData):
    
    encryptWords  = eh.getEmuBytes(argv[0], eh.getRegVal( "eax" ) - eh.getRegVal( "edx" ))
    encryptList = [encryptWords[x] for x in range(0, len(encryptWords), 4)]
    alphabet = "!\"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyzw"
    decrypted = ""
    for b in encryptList:
        if (b != 0):
            decrypted += alphabet[b - 1]
    eh.analysisHelper.setComment(address,decrypted,False) # 添加注释
 
# argv[0]:待解密字符串  ,长度如下
# (eh.getRegVal( "eax" ) - eh.getRegVal( "edx" )/4   字符串长度
if __name__ == '__main__':
    eh = flare_emu.EmuHelper()
    eh.iterate(eh.analysisHelper.getNameAddr("j_CreateObject"), iterateCallback)

🔨 注意使用创建对象的函数模拟,来获取参数j_CreateObject,因为解密函数本体的参数是一个结构体。

运行效果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NPZzPxJD-1667388399864)(/pngs/3.png)]

全部字符串:

Direction	Type	Address	Text
Down	p	sub_421690+78	call    j_CreateObject; %04d-%02d-%02d
Down	p	sub_41C790+350	call    j_CreateObject; %08lX
Down	p	sub_40C650+21E	call    j_CreateObject; *.exe
Down	p	sub_421690+F1	call    j_CreateObject; .com
Down	p	sub_421690+C7	call    j_CreateObject; .duckdns.org
Down	p	sub_41DD70+8B1	call    j_CreateObject; .exe
Down	p	sub_421690+11B	call    j_CreateObject; .net
Down	p	sub_421690+145	call    j_CreateObject; .org
Down	p	sub_41ECB0+A77	call    j_CreateObject; Active_Window
Down	p	sub_41ECB0+7E3	call    j_CreateObject; Antivirus
Down	p	sub_41ECB0+ED6	call    j_CreateObject; Authenticate_Type
Down	p	sub_4238B0+1AA	call    j_CreateObject; Binary_Source
Down	p	sub_4238B0+86	call    j_CreateObject; Buffer
Down	p	sub_424490+A1	call    j_CreateObject; Buffer
Down	p	sub_419FA0+23F	call    j_CreateObject; BuildNumber
Down	p	sub_41C790+11A	call    j_CreateObject; C:\
Down	p	sub_4223B0+253	call    j_CreateObject; CPU_Hashrate
Down	p	sub_41ECB0+BA9	call    j_CreateObject; CPU_Model
Down	p	sub_4223B0+9A	call    j_CreateObject; CPU_Status
Down	p	sub_41ECB0+6F6	call    j_CreateObject; Camera
Down	p	sub_402670+172	call    j_CreateObject; Cuda_Version
Down	p	sub_422C60+7D	call    j_CreateObject; Domain
Down	p	sub_41ECB0+4E0	call    j_CreateObject; Elevated
Down	p	sub_4238B0+115	call    j_CreateObject; Execute_Name
Down	p	sub_423C40+8E	call    j_CreateObject; Execute_Name
Down	p	sub_423C40+177	call    j_CreateObject; Execute_Result
Down	p	sub_423C40+278	call    j_CreateObject; Execute_Result_Type
Down	p	sub_4238B0+23E	call    j_CreateObject; Execute_Type
Down	p	sub_419540+1F9	call    j_CreateObject; File_Name
Down	p	sub_4223B0+4F4	call    j_CreateObject; GPU_Algorithm
Down	p	sub_4223B0+330	call    j_CreateObject; GPU_Hashrate
Down	p	sub_41ECB0+CE6	call    j_CreateObject; GPU_Models
Down	p	sub_4223B0+180	call    j_CreateObject; GPU_Status
Down	p	sub_4223B0+3FA	call    j_CreateObject; GPU_Type
Down	p	sub_41CFD0+19E	call    j_CreateObject; GetModuleFileNameExW
Down	p	sub_419540+2C6	call    j_CreateObject; Handle
Down	p	sub_424490+128	call    j_CreateObject; Handle
Down	p	sub_419540+69	call    j_CreateObject; Host
Down	p	sub_41ECB0+AA	call    j_CreateObject; Identity
Down	p	sub_422C60+58B	call    j_CreateObject; In_Memory
Down	p	sub_422C60+747	call    j_CreateObject; Install_Path
Down	p	sub_422C60+4B4	call    j_CreateObject; Is_Patched
Down	p	sub_419FA0+85	call    j_CreateObject; MajorVersion
Down	p	sub_4207F0+84	call    j_CreateObject; Message
Down	p	sub_4240D0+110	call    j_CreateObject; Message_Option
Down	p	sub_424490+1C5	call    j_CreateObject; Message_Option
Down	p	sub_4204B0+168	call    j_CreateObject; Message_Type
Down	p	sub_4207F0+23C	call    j_CreateObject; Message_Type
Down	p	sub_4223B0+5C7	call    j_CreateObject; Message_Type
Down	p	sub_422C60+AE6	call    j_CreateObject; Message_Type
Down	p	sub_423C40+355	call    j_CreateObject; Message_Type
Down	p	sub_424270+189	call    j_CreateObject; Message_Type
Down	p	sub_419FA0+160	call    j_CreateObject; MinorVersion
Down	p	sub_40B350+86	call    j_CreateObject; Name
Down	p	sub_418F80+A6	call    j_CreateObject; OpenCL.dll
Down	p	sub_41ECB0+1FD	call    j_CreateObject; Operating_System
Down	p	sub_4240D0+6E	call    j_CreateObject; Option
Down	p	sub_422C60+669	call    j_CreateObject; Patch_Name
Down	p	sub_419540+128	call    j_CreateObject; Port
Down	p	sub_422C60+142	call    j_CreateObject; Port
Down	p	sub_422C60+A09	call    j_CreateObject; Power_SaverMode
Down	p	sub_4207F0+15F	call    j_CreateObject; Problem_Type
Down	p	sub_422C60+220	call    j_CreateObject; Process_ID
Down	p	sub_422C60+2FB	call    j_CreateObject; Process_Name
Down	p	sub_422C60+3D6	call    j_CreateObject; Process_Path
Down	p	sub_419FA0+338	call    j_CreateObject; ProductType
Down	p	sub_41AAC0+12F	call    j_CreateObject; ROOT\SecurityCenter2
Down	p	sub_41ECB0+DCF	call    j_CreateObject; Ram_Size
	p	sub_402670+9E	call    j_CreateObject; Required_Binary
Down	p	sub_41A830+18E	call    j_CreateObject; RtlGetVersion
Down	p	sub_41AAC0+37D	call    j_CreateObject; SELECTdisplayNameFROMAntiVirusProduct
Down	p	sub_41C790+86	call    j_CreateObject; SYSTEMDRIVE
Down	p	sub_4204B0+8E	call    j_CreateObject; Serial_Number
Down	p	sub_41ECB0+38B	call    j_CreateObject; System_Architecture
Down	p	sub_422C60+82F	call    j_CreateObject; System_Idle
Down	p	sub_422C60+916	call    j_CreateObject; System_Uptime
Down	p	sub_41ECB0+5D7	call    j_CreateObject; Threads
Down	p	sub_424270+FB	call    j_CreateObject; Transfer_Port
Down	p	sub_40B350+14A	call    j_CreateObject; Type
Down	p	sub_424270+60	call    j_CreateObject; Type
Down	p	sub_41ECB0+8FA	call    j_CreateObject; Version
Down	p	sub_41AAC0+41D	call    j_CreateObject; WQL
Down	p	sub_40BFC0+1C2	call    j_CreateObject; Wow64DisableWow64FsRedirection
Down	p	sub_40BFC0+29A	call    j_CreateObject; Wow64RevertWow64FsRedirection
Down	p	sub_418F80+221	call    j_CreateObject; clGetDeviceIDs
Down	p	sub_418F80+2ED	call    j_CreateObject; clGetDeviceInfo
Down	p	sub_418F80+164	call    j_CreateObject; clGetPlatformIDs
Down	p	sub_41D920+125	call    j_CreateObject; cuDriverGetVersion
Down	p	sub_41AAC0+709	call    j_CreateObject; displayName
Down	p	sub_421690+2A5	call    j_CreateObject; https://blockchain.info/balance?active=1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa
Down	p	sub_40BFC0+C4	call    j_CreateObject; kernel32.dll
Down	p	sub_41A830+71	call    j_CreateObject; ntdll.dll
Down	p	sub_418880+8D	call    j_CreateObject; nvapi.dll
Down	p	sub_418880+159	call    j_CreateObject; nvapi_QueryInterface
Down	p	sub_41D920+4E	call    j_CreateObject; nvcuda.dll
Down	p	sub_41CFD0+6F	call    j_CreateObject; psapi.dll

🧨参考

  1. flare-emu
  2. flare_emu或idapython批量处理解密程序
菜鸟m号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用ida pro的flare功能识别静态链接函数签名
jmp esp
07-07 4448
前言在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个库函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。FLIRTIDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速库识别和检测技术
IDA插件uEmu模拟执行
mengxp的博客
06-25 906
1.安装unicorn for python cd c:\python27-x64\Scripts pip install unicorn -i https://pypi.mirrors.ustc.edu.cn/simple/ 2.下载释放 uEmu https://github.com/alexhude/uEmu 3.在IDA工程中 Alt + F7加载 uemu.py (File/Script files...) 4.加载成功后 output window 会有 uEmu 版本信息 5
IDA 字符串解密脚本
BpLife
11-21 5467
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120 .text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty" 这两个地址字符串被加密了
IDA FLAIR工具说明
热门推荐
学习备忘录
11-30 1万+
官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip   FLAIR——库文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition) =======================================
idax86emu模拟
07-08
IDA静态分析插件,模拟程序执行生成IDA数据库,用于反反模糊,去壳等分析。
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
IDAPRO.rar_IDA Pro_ida_idapro_ida中文版_vc IDA Pro
09-14
IDA PRO中文版本帮助手册,喜欢IDA的朋友不要错过。
IDA.rar_IDA matlab_dissimilarity_matching 2009_匹配 matlab_匹配算法
09-23
IDA算法执行流程如下: 1. 初始化:选择一个未匹配的特征点作为参考点。 2. 增量匹配:遍历所有未匹配的特征点,计算与参考点的不相似度。选取不相似度最小的点作为匹配对,然后更新参考点为新的匹配对。 3. 重复...
lda.zip_ida python_ida算法 python_lda_pda_lda算法python
09-21
标题中的"lda.zip_ida python_ida算法 python_lda_pda_lda算法python"涉及到的主要技术是IDA(Iterative Dichotomiser 3)算法,以及与之相关的LDA(Linear Discriminant Analysis,线性判别分析)和PDA(Partial ...
IDA-Pro-5.4.chm.zip_ ida_IDA Pro_IDA Pro 5_ida
09-19
著名逆向工程的工具IDA的使用说明,是中文版的。很好,很实用。
Python-用于从字符串常量中提取信息的IDAPython脚本
08-10
用于从字符串常量中提取信息的IDA Python脚本
Python-uEmu是一款基于unicorn引擎的IDA的可爱仿真插件
08-12
uEmu是一款基于unicorn引擎的IDA的可爱仿真插件
加密与解密IDA
weixin_49777720的博客
03-11 829
反汇编窗口 导航栏 字符串窗口 输入窗口:可执行文件调用的所有函数。 参考重命名 标签:Jump -> Mark position 创建函数:Edit->Functions->Creat Function 代码数据转换:Edit->Code Edit->Undefine 字符串 数组 结构体 添加结构体的方式。 按D键添加成员。alt+q键修改结构体类型,n修改名字。 修改汇编代码。 IDA动态调试 用Local Windows debugger调试
探索安全边界:Flare-EMU - 深度模拟执行环境
最新发布
gitblog_00078的博客
04-12 613
探索安全边界:Flare-EMU - 深度模拟执行环境 项目地址:https://gitcode.com/mandiant/flare-emu 在网络安全领域,理解恶意软件的行为是至关重要的。为了帮助安全研究人员和逆向工程师更好地分析未知代码, Mandiant 公司开源了 Flare-EMU,一个强大的、用于动态分析恶意软件的深度模拟执行环境。本文将为您详细介绍 Flare-EMU 的原理、用...
基于 unicorn 的 IDA 轻量级插件 uEmu 模拟执行汇编代码
个人笔记
03-08 3584
关于 unicorn engine 的相关知识以及开发,可访问笔者之前所写的博客 使用 Unicorn Engine 模拟执行二进制代码片段 Tutorial for Unicorn:Unicorn Engine 的开发和使用 0x10 uEmu 简介 uEmu 是一个小巧智能的 IDA 模拟器插件,基于unicorn engine,支持以下几种架构开箱即用 x86 (x86-64) ARM...
ida-x86emu
Linhanshi Blog
09-06 958
This is a plugin for IDAPro that allows emulated execution of x86 instructions within the IDAPro environment http://sourceforge.net/projects/ida-x86emu 
利用Unicorn和Idaemu辅助解决Geekpwn SecretCode
weixin_30898109的博客
10-01 375
在前面的些文章里,我提到了怎么交叉编译Unicorn-engine,以及在windows上使用Unicorn python bindings进行分析程序。这一次我介绍下如何使用Unicorn-engine和Idaemu来解决一个ollvm混淆的android逆向,也就是Geekpwn SecretCode 150。 拿到题目,java的代码很简单,用户输入一个数字,程序调用nat...
利用ida执行动态调试初步应用
weixin_73815662的博客
02-27 939
利用ida执行动态调试初步应用
ida模拟器调试_IDA pro远程调试折腾记
weixin_29051245的博客
12-24 1456
1.连接指定的模拟器,当时用的Genymotion的模拟器2.首先查看模拟器列表Shell#adb devices1#adb devices3.连接模拟器Shell#adb -s devicename shell1#adb -s devicename shell4.将IDA pro中的android_server传入模拟器,直接使用Eclipse中的File Explorer在Eclipse中的W...
请介绍idaapi.IDAPython_ExecScript
06-11
`idaapi.IDAPython_ExecScript`是IDA Python提供的一个函数,用于执行Python代码。该函数的语法如下: ```python idaapi.IDAPython_ExecScript(script, globals=None, locals=None) ``` 其中,`script`参数是要执行的Python代码,可以是一个字符串或者一个文件名。`globals`和`locals`参数是可选的,可以用来指定全局和局部变量的命名空间。 在IDA Pro中,`idaapi.IDAPython_ExecScript`通常用于执行一些简单的Python代码,例如调用动态链接库中的函数或者进行一些简单的计算。需要注意的是,这个函数并不是线程安全的,如果同时有多个线程调用该函数,可能会出现一些问题。因此,在多线程环境下使用时,需要注意线程同步和互斥的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值