恶意样本脱壳-GandCrab2.0 脱壳笔记分析记录

最新推荐文章于 2024-03-30 10:27:53 发布
VIP文章 最新推荐文章于 2024-03-30 10:27:53 发布
阅读量725 收藏 2
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106230996
版权

GandCrab2.0 脱壳笔记分析记录

有人在2018年的时候就分析过了恶意样本分析,相关资料可以查看参考部分。由于里边有很多可以学习和总结的脱壳技术,因此重新分析这个样本,这篇文章暂时不做加密和勒索实际功能分析,如果要看分析样本形成勒索的过程以及相关分析报告,可以直接跳到参考部分,这篇文章主要关注的是脱壳相关的一些技术细节的分析,由于文章是我个人的一些分析和总结,因此会有一些不足,比较趋向于像我这样刚接触恶意软件分析,由于很多样本在分析前需要脱壳之后才能看到核心功能,因此这里重点关注脱壳过程,主要内容如下

  • 解密并dump出shellCode

  • 解密并dump出PE1

  • 解密并dump出encrpt.dll

解密并dump出shellCode

使用IDA打开病毒母体,来到入口函数,经过分析后程序会解密出资源文件的内容

在这里插入图片描述
调用VirtualProtect函数修改shell_code的属性为可读写,这里的VirtualPtotect函数是通过动态获取的函数指针

在这里插入图片描述

之后调用函数sub_401014shell_code解密并调用

在这里插入图片描述
为了能进一步分析shell_code,需要在动态调试阶段dump下来,因此这里使用x32dbg调试母体病毒,在程序调用shell_code的时候,单步进入后dump下来,如下是来到执行调用shell_code的位置

在这里插入图片描述

此时选择单步进入,来到shell_code的入口处,如下

在这里插入图片描述

此时将内存dump下,步骤为在内存窗口点击右键-->选择 在内存布局中转到

在这里插入图片描述
之后跳转到内存布局,之后选中对应的内存位置一般使用这个方式跳转到内存布局文件,默认会选择指定的内存,然后右键保存为文件,之后命名为shell_code.bin,如下

在这里插入图片描述

使用ida分析shell_code的功能。

ShellCode功能分析

现在主要对shellcode的功能分析,这部分主要会完成如下功能

  • 解密PE1文件
  • 动态填充encrypt.dll文件
  • 反射调用encrypt.dll

解密并dump出PE1

在执行解密PE1这个文件之前,需要弄清楚几个问题

  • [ebp-0A0h]保存的内容是什么
  • 动态获取kernel32.dll函数是如何保存的
  • 解密的PE1文件什么时候选择dump
初始化数据和导入APIs

[ebp-0A0h]保存的内容是什么

在动态调试阶段注意如下指令

mov     eax, [ebp-8Ch]
mov
最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【安卓逆向】360加固-脱壳修复
YJJYXM的博客
10-08 2万+
最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了壳代{过}{滤}理,没有一点原APK的代码。在assets中,有两个壳相关的SO: 尝试从内存中DUMP原cla...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6709
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
DeepNude-Windows-v2.0去水印版
07-11
仅用于学习交流,经过调试已经消除水印。功能就不过多介绍了,运行环境Windows10。基于pix2pix,这是一种由加州大学伯克利分校的研究人员于2017年开发的算法。生成对抗性网络模型,包括图像样本的"生成器"网络,以及"鉴别器"网络,其作用是提高算法的准确性。
20222937 2022-2023-5 《网络攻防实践》第八周作业
qq_43560301的博客
05-06 295
通过这次实验,了解了一些恶意代码的攻击原理,在分析恶意代码的过程中对恶意代码的结构、原理等有了较清晰的理解,同时,在取证分析的过程中分析恶意代码隐蔽性较强,需要认真仔细,如果想提高分析取证的能力,必须加强练习与总结归纳。筛选端口80的数据,能看出所有关于80端口的相关攻击的信息,包括null.ida为标识的WEB-IIS ISAPI、dafault.ida为标识的code red,发现这是一个红色代码蠕虫攻击,过滤http请求,发现攻击者尝试了溢出、目录穿越等攻击,但均未成功。
Android逆向之路---脱壳360加固原理解析,通宵都要看完这个Android关键技术点
m0_60666921的博客
03-25 713
答应大伙的备战金三银四,大厂面试真题来啦!这份资料我从春招开始,就会将各博客、论坛。网站上等优质的Android开发中高级面试题收集起来,然后全网寻找最优的解答方案。每一道面试题都是百分百的大厂面经真题+最优解答。包知识脉络 + 诸多细节。节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。给文章留个小赞,就可以免费领取啦~3000页Android开发者架构师核心知识笔记《960全网最全Android开发笔记》《379页Android开发面试宝典》
APK脱壳之—如何脱掉“梆梆加固”的保护壳
白帽子九一
04-18 8111
一、前言 现如今Android用户的安全意识不是很强,又有一些恶意开发者利用应用的名字吸引眼球,包装一个恶意锁机收费的应用,在用户被骗的安装应用之后,立马手机锁机,需要付费方可解锁。这样的恶意软件是非常让人痛恨的。所以本文就用一个案例来分析如何破解这类应用,获取解锁密码,让被骗的用户可以找回爽快! 二、分析软件锁机原理 本文用的是一款叫做:安卓性能激活.apk,关于样本apk文件后面会给出下载地址,从名字可以看到它肯定不会是一个恶意软件,但是当我们安装的时候,并且激活它的权限之后就完了。下面不多说了,直接用
脱壳之常用的加固样本特征
最新发布
AdrianAndroid的专栏
03-30 401
主要看assets文件夹和lib文件夹。
记一次RATEL脱壳配合Il2CppDumper解密完成的样本分析
weixin_44348983的博客
11-17 2478
今天分析一个网赚类的样本,业务方要我搞清楚为什么每次完成任务出现红包时,总会随之弹出一个插屏广告。 大概就是下图这样,说实话,弹几层广告确实挺恶心,关起来都麻烦 先在测试机装上应用,发现有root检测,试过几个通用的过root检测的frida脚本,发现不行 看了下代码,是网易的壳 正好,最近在看Ratel,刚好来练练手,试试在非root环境下Ratel的脱壳怎么样 Rate...
360加固保加固APP工具.rar
08-31
360加固保加固APP工具
Android脱壳圣战---360脱壳与修复
热门推荐
yxp1198287349的博客
11-23 2万+
市场上的360脱壳神器 drizzleDumper 大家好 最近360壳不太友好,老是出现在各种东西里 所以我从github上找到了一个还行的工具drizzleDumper 首先这个工具是在虚拟机上用的 不会配置那些,加上电脑太垃圾了 我拿夜神模拟器做讲解,减少操作命令,方便看懂 首先先下载工具。 drizzleDumper下载链接 :https://www.lanzous.com/i2fft8...
#Android反编译#零基础脱掉360加固包的“外衣”
superyu1992的专栏
04-29 1万+
我们在开发App的过程中为了保护自己的劳动成果不被剽窃,也为了保证接口不被暴露,通常在上架之前做一些混淆或者加固的处理,市面上也有不少加固工具,更有甚者在某些平台上线App必须使用该平台的加固工具进行加固后才可上线!这些加固真的靠谱吗?这两天我就对通过某60加固的App下手了,结果作为逆向零基础的小白,用了大约两天的时间,就成功脱壳了。。。下面就来分享一下我这几天的学习与破解过程。(下面的分享都是...
实战脱壳360加固
曲终人散
04-02 1万+
测试手机:Nexus 6 1、当我们拿到一些应用程序进行渗透时经常会遇到请求参数被加密或者签名的情况, 在请求数据被修改后提示异常, 导致无法有效地进行漏洞挖掘,因此把最近关于脱壳的方法做个记录 2、逆向反编译应用进行查看 3、通过查壳和上面分析是360加固,经过加固后的apk,通过常规方法反编译无法获取到源码 4、配置环境并启动frida服务 5、端口转发 6、相关...
ABB低压开关柜 - MNS 2.0产品目录.pdf
09-20
ABB低压开关柜 - MNS 2.0产品目录pdf,ABB低压开关柜 - MNS 2.0产品目录:在竞争激烈的国内和国际市场上,MNS 2.0 组装式低压开关柜凭借其多年的成功使用经验,引领了开关柜的主流发展方向。整个系统充分考虑了将来的...
恶意代码分析实战》官方实验样本
01-13
学习恶意代码分析,从官方下载的《恶意代码分析实战》课后实验样本
普传 PR5200宣传样本-201206CV2.0.zip
10-28
普传 PR5200宣传样本-201206CV2.0zip,普传 PR5200宣传样本-201206CV2.0
普传 PI9000宣传样本-201308CV2.0.zip
09-20
普传 PI9000宣传样本-201308CV2.0zip,普传 PI9000宣传样本-201308CV2.0
Lab16使用x64dbg调试带参数程序
LoopherBear的博客
05-26 3484
Lab16使用x64dbg调试带参数程序 在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式 调试带参数启动的.exe程序 调试带参数启动的'.dll'程序 看下一篇文章 今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 1847
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
Pe文件静态分析
LoopherBear的博客
05-02 1507
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
casia-olhwdb2.0-2.2数据集文件解析
10-21
Casia-OLHWDB是一个手写字数据集,其中包含来自不同作者的手写数字、字母和汉字。这个数据集的文件解析可以通过以下步骤进行。 1. 下载Casia-OLHWDB数据集文件。你可以在官方网站上找到该数据集并下载。解压缩下载的文件。 2. 了解数据集文件结构。Casia-OLHWDB数据集使用一种简单的文件格式来存储手写字样本。数据集文件通常以“.txt”或“.pkl”为扩展名。你可以查看数据集文档以了解具体的文件结构和格式。 3. 打开数据集文件。使用Python的文件读取函数打开数据集文件。如果文件是文本文件,可以使用“open”函数读取。如果文件是二进制文件,则可以使用适当的库(如NumPy或Pandas)来读取。 4. 解析数据集文件内容。根据数据集文件的结构和格式,你需要编写代码来解析文件内容。这通常涉及读取文件中的每一行,并将其分解为适当的数据结构(如数组、字典或数据帧)。 5. 提取手写字样本。在解析文件内容后,你可以提取手写字样本。这些样本可以是图像、矢量图、像素数组或其他形式的数据。你可以根据需要对这些样本进行处理和转换。 6. 进一步处理和分析。一旦你解析并提取了手写字样本,你可以对数据进行进一步的处理和分析。这可能包括图像增强、特征提取、机器学习模型训练等。 总之,Casia-OLHWDB数据集文件解析涉及下载数据集文件,了解文件结构和格式,打开文件,解析文件内容,并提取手写字样本。通过这些步骤,你可以开始使用这个数据集进行手写字识别、字形分析或其他相关任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值