恶意代码分析实战Lab1701

最新推荐文章于 2022-04-11 21:27:04 发布
最新推荐文章于 2022-04-11 21:27:04 发布
阅读量253 收藏
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/81477268
版权

IDA -> main -> Name字符串,HGL345,很明显,这个程序我们之前分析过,特征字符串

这次的分析目的不一样,是要patch掉反虚拟机技术,从而使得代码运行起来

根据书中17.2.5反虚拟机的x86指令一节,如下指令:

sidt,sgdt,sldt,smsw,str,in(第二个操作数被设置为VX),cpuid

恶意代码通常并不运行这些指令,除非它们执行VMWare检测

在IDA的汇编中显示出来标红,可能是asm汇编嵌入C中,导致这部分代码逻辑和其他代码不一样

 

在main入口运行findAntiVM.py

from idautils import *
from idc import *

heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))
antiVM = []
for i in heads:
	if (GetMnem(i) == "sidt" or GetMnem(i) == "sgdt" or GetMnem(i) == "sldt" or GetMnem(i) == "smsw" or GetMnem(i) == "str" or GetMnem(i) == "in" or GetMnem(i) == "cpuid"):
		antiVM.append(i)

print "Number of potential Anti-VM instructions: %d" % (len(antiVM))

for i in antiVM:
	SetColor(i, CIC_ITEM, 0x0000ff)
	Message("Anti-VM: %08x\n" % i)

结果如下:

Number of potential Anti-VM instructions: 3
Anti-VM: 00401121
Anti-VM: 004011b5
Anti-VM: 00401204

 

在cmd中运行程序,发现程序一直在跑起来,没有检测到

分析sidt:

sidt指令如果检测成功,该程序会立即删除自身

str指令检测成功,恶意代码将不会创建Malservice这个新服务

当sldt检测成功时,函数返回值不为0xDDCC0000,即不执行多线程操作

 

 

问题1:恶意代码使用了什么反虚拟机技术

 

问题2:运行IDApy脚本,结果是什么

 

问题3:每种反虚拟机技术成功执行后会发生什么

 

问题4:哪些技术生效,原因是什么

在我的机器上都没有生效,可以双击或cmd运行

问题5:怎么使得这些反虚拟机技术失效,从而让恶意代码运行

全部NOP即可

 

Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战lab12-4
qq_49243247的博客
07-11 207
恶意代码实战详细分析
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1913
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战 Lab17
baidu_41108490的博客
06-07 476
lab17-01程序运行脚本之后,有三个地方红色高亮第一个是使用sidt获取IDTR寄存器值,然后和FF比较,是FF就跳转到loc_40132D处调用sub_401000函数删除自身第二个使用str来检测,注意三个跳转,其中loc_40124E是程序正常跳转,loc_401336最后还是会调用sub_401000删除程序最后一个在这里,返回值为0DDCC0000h时候正常运行,否则跳转结束程序看一...
关于“特权解除、陷入模拟”的理解
sdulibh的专栏
09-16 8100
一直想不通这两句话的含义,今天查了点资料、对着源码分析了一下,不一定对,写下来,分享: x86 CPU支持ring0-3 共4种不同的特权级别,下面分正常和虚拟化两种情况叙述、分析: 1.正常情况下: 特权级别是针对段来讲的,段描述符的最后两位标识了该段所位于的特权级别,比如,中断处理程序运行于ring0(),此时的内核程序是具有特权的,即ring0. 位于ring3用户程序可以通过系统调
虚拟机检测技术剖析
02-10 849
作者:riusksk (泉哥) 前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,Vi
ida逆向:变量、函数标注;反编译代码修改
yellow的博客
07-04 1万+
分析dll文件中的2个函数中变量、函数进行标注,以及反汇编代码修改,(遵循一些约定俗称的规定+自己爱好=形成自己风格)方便以后很快的阅读。 函数1:DllEntryPoint() 汇编窗口 栈窗口 反编译窗口 函数2:Init1( ) 汇编窗口 没有栈窗口 反编译窗口 清楚的标注,方便以后快速识别样本如何执行。
工具使用-IDA从入门到理解
07-11 4182
启动界面介绍: 1 2 3 4 NEW:打开IDA同时弹出对话框选择要打开的文件 Go:单独打开ida,打开界面将文件拖入 Previous,或者下面的列表项:快速打开之前的的文件 这里选择Go键,打开以后 这里选择Go键,打开以后 把我们要分析的文件拖到ida即可 这里按我们的默认选项点击OK即可。 选择中可能需要理解的为: 1 2 Manual Load:基地址重定向,..
恶意代码分析实战Lab3-2
王陈锋的博客
04-11 1310
Lab3-2 使用动态分析基础技术来分析Lab03-02.dll文件中发现的恶意代码。 1.你怎样才能让这个恶意代码自行安装? Windows系统中的rundll32.exe专用于运行dll程序 rundll32.exe Lab03-02.dll,installA 然后我们在windows自带的注册表编辑器中发现安装成功,安装了一个名为ServiceDll的文件 2.安装之如何让恶意代码运行起来? 利用regshot,发现注册表新增一个IPRIP服务 3.怎么可以找到这个恶意.
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本。
恶意代码分析实战课后练习题
11-04
恶意代码分析领域,实战经验至关重要。"恶意代码分析实战课后练习题"是一份针对这一主题的专业训练材料,旨在帮助学习者加深对恶意代码理解并提升分析技能。本资料结合MATLAB的学习,将理论与实践相结合,为学员...
恶意代码分析实战 Lab7
baidu_41108490的博客
05-18 1589
lab07-011惯例静态分析一波结论::无加密,输入表两个关键dll,显示程序会有网络和注册表相关操作(ADVAPI32.dll和WININET.dll),kernel.dll导入了互斥量和线程相关操作,认识的dll和函数也就这些了再看看字符串...
IDA Pro常用基础操作(二)
跃然实验室
06-08 1146
1、IDA Pro下断点 F2下断点 F9运行 变成红色 或右键 2、查看导入导出表 3、打开调试器窗口 4、视图窗口 5、查看数据段的字符串在代码段中的引用位置 函数可以利用交叉定位找到调用的地址. 字符串无法找到,可能调用的地址经过变化 6、CODE XREF 外部参照代码 7、每个函数最上方为函数的栈帧。 8...
IDA使用之旅(二)工具及窗口的使用
热门推荐
chenyujing1234的专栏
07-21 2万+
转载请标明是引用于 http://blog.csdn.net/chenyujing1234  欢迎大家拍砖!   本系列内容是我根据“知其所以然论坛”博主录制的学习视频,做的笔记。 一、主要窗口 1、显示函数调用图表 显示函数调用图表:   2、显示当前函数的流程图       3、窗口管理。 可以打开自己无意关闭的窗口,可以增加查看的标签选项: 或者重设窗
恶意代码分析-第五章-IDApro
每昔的博客
07-30 726
设置 Options - General,选择Line prefixes并设置Number of Opcode Bytes 为6.可以看到16进制代码 Options - General,选择Auto comments,IDA帮助注释 窗口 函数窗口:左拖拽,可以看到长度,以函数长度排序,过滤出规模大的函数 每个函数也关联了一些标志位(F,L,S)。L--库函数 名字窗口:函数名,命...
恶意代码分析实战——反虚拟机技术对抗
aming小老弟
02-02 834
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
UPX脱壳
ACdream
01-23 4103
UPX脱壳
WINDOWS网络API总结
ACdream
06-16 2925
一:WinSock APIWSAStartup,getaddrinfo,socket,connect,send,recv,WSAGetLastError二:WinINet APIInternetOpen:初始化一个应用程序,以使用 WinINet 函数InternetConnect:建立 Internet 的连接,成功返回非0。如果返回0。要InternetCloseHandle释放这个句柄Int...
FSG脱壳
ACdream
01-25 1275
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
Combat-Lab实战:从CCNA到CCIE的路由技术解析
"Cisco路由案例实战(combat-lab 内部资料)" 本文档是一份由Combat-Lab机构编写的实验手册,旨在提供Cisco路由器相关的实战经验与案例,适合CCNA、CCNP、CCIE以及H3CNE、H3CSE等认证的学习者。Combat-Lab强调理论...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值