病毒分析教程第九话--使用IDA远程调试

最新推荐文章于 2024-09-11 20:48:01 发布
最新推荐文章于 2024-09-11 20:48:01 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: 恶意软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/103721403
版权
本文介绍如何利用IDA的远程调试功能分析恶意软件。在分析一个导致主机突然关机的样本时,通过动态调试发现样本调用了NtShutdownSystem函数。通过IDA设置远程调试,定位到动态调用NtShutdownSystem的sub_413DF9函数,并揭示了病毒使用vpcext和mov 'VMXh'指令检测虚拟机环境的行为。
摘要由CSDN通过智能技术生成

恶意软件为了避免静态检测,通常会动态生成&调用敏感的字符串及系统API,这种情况就无法单纯使用IDA进行分析了,得进行调试动态地获得这些值。而IDA有个远程调试的功能,很实用,我们下面就来学习如何使用IDA进行远程调试。样本还是上一章的样本:F834F898969CD65DA702F4B4E3D83DD0,下载地址:https://app.any.run/tasks/c7c12977-fdd1-4b1a-b8de-1c8f2806cdfc

我们首先运行下样本,发现该样本会创建一个新的进程并运行,这个应该是我们上一章提到的病毒创建的exe文件。
1

紧接着,主机就突然关机了???什么情况,这病毒难道会检测VM虚拟机,然后关机?
2

google了下,关机的API是NtShutdownSystem,我们就看看到底是这3个文件里的哪个调用了该函数。
3

通过字符串搜索,在dump2中发现了NtShutdowSystem字符串,接下来我们就对该样本进行调试,看它如何检测虚拟机的。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
C++软件调试与异常排查从入门到精通系列文章汇总
dvlinker的技术专栏
06-29 19万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)
杨秀璋的专栏
01-08 5237
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!
ida 远程调试
maoji的专栏
11-29 1367
1. 下载ida [Disassemblers] IDA Pro 6.8 + All Decompilers Full Leak http://www.52pojie.cn/thread-442702-1-1.html A very generous member, who wishes to be anonymous, has asked me to pos
使用IDA 进行远程调试
热门推荐
eqera的专栏
11-29 1万+
从4.8 版开始,IDA PRO 支持通过TCP/IP 网络对x86/AMD64 Windows PE 应用程序和Linux ELF 应用程序进行远程调试。所谓“远程调试”是指通过网络调试在另一个网络上的计算 机运行的代码的过程: l 运行IDA PRO界面的计算机被称为“调试器客户端”。 l 运行被调试的应用程序的计算机被成为“调试器服务器  ”。 远程调试主要用于下面一些特殊
IDA动态调试
最新发布
liulala987的博客
09-11 1441
通用寄存器:共有rax、rbx、rcx、rdx、rsi、rdi、rbp、rsp、r8、r9、r10、r11、r12、r13、r14、r15这16个寄存器,CPU对它们的用途没有做特殊规定,可以自定义其用途(其中rsp、rbp这两个寄存器有特殊用途)。其中,rsp栈顶寄存器以及rbp栈基寄存器都和函数调用栈相关,其中rsp寄存器一般用来存放函数调用栈的栈顶在内存中的地址,rbp寄存器通常用来存放函数的栈帧在内存中的起始地址。点击带有绿色三角符号的Start process即可开始调试程序。
ida远程调试so
weixin_30511107的博客
08-27 188
步骤 拷贝调试进程 设置可运行 转发设置 ida附加进程 1.拷贝ida中的android_server adb push android_server /data/local/tmp adb shell ca /data/local/tmp chmod a+x android_server 2.附加调试 adb forward tcp:2...
IDA远程动态调试(linux & Windows)
m0_46296905的博客
04-17 9501
本篇文章参考 “逆向界圣经”《加密与解密》(第四版) ida作为强大的静态分析工具其实也兼具动态分析功能,我们下面给出教程。 首先明确,我们要把我们的物理机作为调试器客户端,在其上运行的虚拟机作为目标文件的运行环境。 其次我们还需要在虚拟机里面运行相应的调试服务器组件(处理所有底层执行和调试操作),调试服务器组件可以在ida安装目录下的dbgsrv文件中找到,不同系统需要选择不同的组件传到虚拟机中。 接下来给出服务器组件接受的命令行参数: “-p端口”:用于设置备用TCP端口,以便服务器进行监听。默.
ida远程调试
weixin_45177618的博客
04-26 600
在windows上使用ida远程附加调试mac电脑上的app
病毒分析教程第五--动态调试分析(上)
安全杂货铺
09-05 1310
s
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8773
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
Re:从零开始的逆向生活06day
m0_74148881的博客
11-18 689
Re0第六天:远程调试(以linux环境下调试elf文件为例)
IDA 远程调试
Jack码•农的专栏
07-23 1977
从4.8版开始, IDA 支持远程调试. 在网络连通的情况下, 远程调试可以使一台计算机调试另外一台计算机上运行的程序。 运行IDA的计算机称为 "调试客户机". 运行被调试进程的计算机称为 "调试服务器". 我们可以利用远程调试来研究有破坏性的文件, 例如病毒,木马等,或分布式应用程序. 步骤1: 把 IDA 目录中的 win32_remote.exe 拷贝到被调试服务器.
IDA Linux远程调试
小龙在线
09-28 1787
IDA: main函数F5反编译: 配置IDA远程调试 监听调试服务 拷贝截图文件到Kali: 开启调试 F2下断点: F8单步调试: 双击check变量: 选中第一个字符N,点击a:
Ida远程动态调试
qq_40026795的博客
06-20 598
一、将对应版本的服务端放到远程机器中 服务端目录在ida安装目录下的dbgsrv中 以linux下64位应用程序为例,将linux_server64放到linux中,添加执行权限并运行(超级账户运行)。 二、配置IDA参数 选择IDA调试器为remote linux debugger 在ida->Debugger->Process options中对ida进行设置 Appl...
简单IDA远程调试
xuqi7
12-19 640
将dbgsrv文件夹中相应的服务程序复制到远程机器中并启动 以管理员启动IDA,设置远程调试的ip和port,开启进程或者附加进程,就能开始调试了 需要注意使用匹配的版本运行,32位就都选32位,64同理 举例: 一个64位的系统安装了32位运行库,可以运行32位程序,选择linux_server复制到远程机器,本地用管理员打开IDA32,这样选择远程调试,就能正常调试了 小...
ida在kali-linux虚拟机上进行远程调试(提供可能的解决无法连接的思路)内含本机与linux虚拟机无法互相ping通的解决方法(见标题四.(七))
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-23 2545
本篇记录本蒟蒻逆向博主在ida进行远程调试踩的坑,一是方便自己以后不再踩,二则便于后人少走弯路本篇的学习目的是要,因为大多数人想必和博主一样只有windows一个主系统,这种情况下逆向分析过程中如果遇到elf文件,且必须通过动态调试才能解决(或者说借助动调可以大大降低逆向难度),如果不能进行linux远程调试,那将只能!
ida 在虚拟机中实现linux remote debugging
qq_35576225的博客
11-05 1253
1.背景 真机:win10x64 ida pro 7.虚拟机:kali 2020.3x64 2.设置允许Dbug 在Kali-Linux-2020.3-vmware-amd64.vmx文件中加入下面三行 debugStub.listen.guest64 = "TRUE" debugStub.hideBreakpoints= "TRUE" debugStub.listen.guest64.remote = "TRUE" 3.调试 1.找到win10中IDA的安装目录,在安装目录下会有linu...
病毒分析教程第八--idapython使用
安全杂货铺
12-25 598
idapython使用 IDAPython是IDA的一款强大的插件,通过它可以对病毒代码做一些自动化的操作,常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。 本次实验的样本为:F834F898969CD65DA702F4B4E3D83DD0,先使用IDA打开它,目光聚焦到上面的导航栏,有一大段绿色的数据,位于0x40C030,直觉告诉我,这是段加密后的可执行文件。 在unk_4...
【Tools系列】IDA远程调试Linux文件
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
04-28 1882
(1)进入到IDA的安装目录,找到文件夹/dbgsrv,其中有两个文件linux_server和linux_server64,分别为32位的服务端和64位的服务端,可根据调试目标进行选择。Hostname为Ubuntu的IP地址,Port为端口(与linux_server的监听端口保持一致),Password为Ubuntu系统的开机密码。(3)Ubuntu下运行服务端,因为我的调试目标是32位的,所以我运行linux_server即可。(2)查看Ubuntu的IP地址,ifconfig命令。
Re-ezVM(ida调试dll文件)在DASCTFXGFCTF2024中的应用分析
资源摘要信息:"DASCTFXGFCTF2024四月Re-ezVM(ida调试dll文件)是针对信息安全领域CTF(Capture The Flag)比赛的一项实验程序。CTF比赛是一种以黑客攻防对抗为主的网络安全竞赛,通常分为多个环节,如逆向工程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值