病毒分析教程第八话--idapython使用

最新推荐文章于 2024-08-12 19:53:59 发布
最新推荐文章于 2024-08-12 19:53:59 发布
阅读量583 收藏
点赞数
分类专栏: 恶意软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/103702617
版权
本文介绍如何利用IDAPython插件对病毒代码进行自动化解密。通过分析样本,聚焦解密函数sub_404520,理解解密逻辑,并编写Python脚本来实现解密。解密过程包括获取加密数据、执行减法运算以及保存解密后的dll和exe文件。
摘要由CSDN通过智能技术生成

IDAPython是IDA的一款强大的插件,通过它可以对病毒代码做一些自动化的操作,常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。

本次实验的样本为:F834F898969CD65DA702F4B4E3D83DD0,下载地址:https://app.any.run/tasks/c7c12977-fdd1-4b1a-b8de-1c8f2806cdfc。先使用IDA打开它,目光聚焦到上面的导航栏,有一大段绿色的数据,位于0x40C030,直觉告诉我,这是段加密后的可执行文件。
1

在unk_40C030处按下Ctrl+X,即可交叉引用到代码处,发现它是函数sub_404520的一个参数,通过代码我们大致可以猜出,sub_404520的作用主要是解密出一个dll,然后LoadLibraryA调用它,下面就来主要分析这个解密函数sub_404520。
2
解密的核心逻辑就是红框里这个循环,主要工作是读取数据里的每一字节,然后进行减操作,可以说是很简单的加密方式了。同时我们可以注意到一个有趣的地方,在位置0x2F0和0x2FF之间,病毒是产生随机字节,这样做的目的是免杀,使每次生成的dll的哈希不一样。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
病毒分析教程第九--使用IDA远程调试
安全杂货铺
12-26 1070
恶意软件为了避免静态检测,通常会动态生成&调用敏感的字符串及系统API,这种情况就无法单纯使用IDA进行分析了,得进行调试动态地获得这些值。而IDA有个远程调试的功能,很实用,我们下面就来学习如何使用IDA进行远程调试。样本还是上一章的样本:F834F898969CD65DA702F4B4E3D83DD0 我们首先运行下样本,发现该样本会创建一个新的进程并运行,这个应该是我们上一章提到的病...
IDAPython的妙用
把梦想放飞在蓝色的天空里...
03-04 1万+
看过Python灰帽子的密友都知道IDAPython在逆向的场景中常常能够发挥出巨大的威力,笔者偶然一次在逆向的过程中使用了它,下面就来总结一下使用的一些注意事项: 环境:IDA 6.1 ,android 2.3 AVD。 我这个IDAPython的版本是: -------------------------------------------------------------------
vulnstack-7(红日靶场七)
最新发布
m0_74402888的博客
08-12 1003
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:漏洞详情添加两个网卡DMZ区域:给Ubuntu (Web 1) 配置了两个网卡,一个可以对外提供服务;一个连接第二层网络。第二层网络区域:给Ubuntu (Web 2) 和Windows 7 (PC 1)都配置了两个网卡,一个连接第二层网络,一个连接第三层网络。第三次网络区域:给Windows Server 2012和Windows 7 (PC 2)都只配置了一个网卡,连接第三层网络。
[安全攻防进阶篇] 十.熊猫烧香病毒机理IDA和OD逆向分析--病毒释放过程(中)
热门推荐
杨秀璋的专栏
12-19 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
病毒分析教程第十一 -- 使用IDA内存快照获取函数&变量
安全杂货铺
02-28 1323
样本下载地址: https://www.hybrid-analysis.com/sample/31e8a11960d0492b64241354c567643f09f0e0278658d31e75d6f2362dbfae44/589f6600aac2ed382956ce75?lang=zh
IDAPython基础教程
ChuMeng1999的博客
10-31 465
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 1.关于IDA IDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名
病毒分析教程第七--进程注入分析(下)
安全杂货铺
04-10 474
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-4 本节实验使用样本Lab12-04.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到svchost.exe中。 ...
IDA使用教程
03-16
IDA(Interactive Disassembler Pro)是一款强大的反汇编器和调试器,广泛应用于逆向工程领域,用于分析二进制代码、病毒分析、软件安全研究等。本教程将引导你了解IDA的基础操作和核心功能,助你在短时间内掌握这款...
python勒索病毒代码_勒索病毒GandCrab-v5.04完整分析
weixin_42500477的博客
01-29 3471
原程序分析基本文件信息ExeInfo 查看文件信息,PE32位且有壳Ollydbg 入口点代码如下脱壳后单步跟到OEP,dump内存修复IAT,成功脱壳后用 Die 查看编译语言为 Delphi7IDA 和 OD 的入口代码反沙箱手段消息循环复杂的消息循环,使用了定时器消息,以及自定义 SendMsg,发送大量消息,使程序的运行时间延长设备上下文长时间消息循环到达核心代码区,里面又有许多的动态解密...
[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5169
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
IDAPython手册(中文版)
11-03
IDAPython手册(中文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
IDAPython手册中文翻译
01-03
IDAPython官方手册的中文翻译, IDAPython开发者必备。
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1226
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
IDApython在恶意软件分析中的应用
摔不死的笨鸟的博客
11-24 488
IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。 IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息 使用的前提是: 一、病毒家族样本的加密函数固定有规律有通性。 二、病毒样本的加密函数比较简单或者标准
IDA 打开idapython import site failed 报错
qq_46056214的博客
07-27 299
如图所示加一个PYTHONHOME就可以了(没有百分号!!!)
idapython自动生成mfc消息结构体
如鹿渴慕泉水的专栏
01-18 380
struct AFX_MSGMAP_ENTRY { UINT nMessage; // windows message UINT nCode; // control code or WM_NOTIFY code UINT nID; // control ID (or 0 for windows messages) UINT nLastID; // used for entries specifying a range of control i
IDAPython基础教程3
Yale的博客
01-17 1410
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro,以此文件为样例,学习IDAPython的用法。 操作数在逆向分析中经常被使用,所以了解所有的操作数对逆向分析非常有帮助。我们可以使用idc.GetOpTye(ea,n)来获取操作数类型,ea是一个地址,n是一个索引,从0开始。操作数一共有八种不同的类型。 O...
最新IDA8.3安装后需要做的一些完善工作(包括IDAPython报错、ChatGPT的模块安装、中文字符串的显示,各种问题解决方法合集)
donglxd的博客
12-27 9503
本文介绍了安装\使用最新版IDA8.3出现问题的解决方法,如:1.IDAPython:error executing init.py:No module name 'imp';2.No module named 'openai';3.No module named 'anytree';ida8.3不能显示中文字符串的问题等一系列的解决方法
使用IDAPython加速二进制分析
IDAPythonIDA(交互式反汇编器)的一个扩展,它将Python脚本的强大功能与便利性引入到二进制分析中。这篇文章主要针对初学者,介绍了一些基本的使用方法,并通过实例帮助读者快速上手。我们将通过实践例子,涵盖从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值