病毒分析教程第十话--动态解密payload

最新推荐文章于 2024-08-07 11:46:11 发布
最新推荐文章于 2024-08-07 11:46:11 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: 恶意软件分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/104238986
版权
本文介绍了如何动态解密使用自定义加密算法的恶意软件payload。通过使用x32dbg设置断点,分析样本行为,发现解密函数,并使用Scylla插件恢复IAT表,从而方便进一步的恶意代码分析。
摘要由CSDN通过智能技术生成

近年来,恶意软件越来越多的使用自己编写的加密算法。这就是为什么很多情况查壳工具并没有检测出壳,但恶意代码还是被混淆的原因,下面,我们就来学习下如何动态解密恶意软件中的payload。样本:61c19e7ce627da9b5004371f867a47d3,下载地址:https://app.any.run/tasks/e163502e-3334-46d9-aeb7-e5c925b64af7。

使用查看工具检测样本,提示是未知壳,黑客还为了伪装将节段篡改成UPX的名称。
1
使用IDA分析样本,发现一大段灰的,很大概率这一段就是被加密的恶意代码。
2
好,接下来就用x32dbg进行动态解密,把样本拖入x32dbg,按一下F9,会自动断在入口点的位置。
3
这里讲一个小技巧,恶意软件解密代码之前一般会调用VirtualAlloc申请内存,或调用VirtualProtect修改内存属性,所以,我们输入命令bp VirtualProtect、bp VirtualAlloc下断点,这样程序大概率可以断在解密代码的附近。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8615
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
从 XSS Payload 学习浏览器解码
m0_61579490的博客
07-26 320
从 XSS Payload 学习浏览器解码
省省回头车payload算法加解密省省回头车7.7.0
qq_50127494的博客
03-18 1133
最新版省省回头车7.7.0 payload 算法 省省回头车抢单 代码仅供学习交流,请勿用于非法用途,如有疑问,请或查看最下方资料卡与我联系交流APP是爱加密企业版的壳脱壳这里查壳脱壳就不在讲解了,自行百度或者参考以下文章该APP还有一个主要限制,即APP防抓包,新手一般连包都无法抓到如果手机已经完成 Root,我们只需要将第三方证书移动(比如:小黄鸟、Charles 等)移动到系统证书目录即可这里通过小黄鸟 App 及 Charles 进行讲解,Fiddler 类似手机root方法不在讲解自行百度。
【杂记-浅谈网络安全知识之payload恶意代码】
最新发布
叫我小虎就行了的博客
08-07 180
【杂记-浅谈网络安全知识之payload恶意代码】
java aes加密解密_【奇技淫巧】攻击者发现Apache Shiro payload AES解密
weixin_39930711的博客
11-27 667
攻击者发现-Apache Shiro payload AES解密恶意 Cookie rememberMe值构造前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookieApache Shiro处理cookie的流程得到rememberMe的cookie值 -> Base64解码 -> AES-128-C...
upx脱壳教程(buuctf逆向题新年快乐)
逆向萌新的博客
07-18 2468
逆向常见的upx壳,如何手脱壳,怎么去手脱upx壳
python编程第三站-在线密码破解工具
流浪法师的博客
05-10 2611
python编程第三站-在线密码破解工具
病毒分析教程第十--使用fakenet-ng模拟C&C连接
安全杂货铺
03-06 2486
样本MD5:E8F57996607F41B951F201F2CAFAE15D,下载地址:https://app.any.run/tasks/add02a26-c07f-49cd-8d7d-a1791369c862。这是一个木马,但由于C&C服务器不存活了,所以ANYRUN无法检测出其是否恶意,今天,我们就来通过FakeNet-NG神器,来模拟C&C服务器,以揭露出样本的完整恶意行为...
ertutil一句下载payload补充(第四十四课).docx
09-15
标题中的“ertutil一句下载payload补充”指的是使用Windows系统内置的`certutil`工具来实现恶意代码的下载和执行,通常在黑客攻击或渗透测试中使用。`certutil`是Windows操作系统的一个安全实用程序,主要用途是...
Overwatch-Dump-Fix:x64dbg插件,该插件从流行的FPS游戏《守望先锋》中移除了反倾销和混淆技术
04-29
守望先锋转储修复 这个x64dbg插件从流行的FPS游戏《守望先锋》中移除了反倾销和混淆技术。 它打算与Scylla(内置于x64dbg中)一起使用,以生成用于静态分析的进程转储文件。 该插件可用于转储大多数现代暴雪游戏。 例如,它可以用来丢弃《魔兽世界》经典作品。 该项目仅用于教育用途。 用法 x64dbg命令 守望先锋 希拉 用户必须在Scylla选项的“其他”部分中启用“使用高级IAT搜索”设置。 在x64dbg的“插件”菜单中打开Scylla 。 从“杂项”菜单中打开选项对框。 启用右下角的“使用高级IAT搜索”设置。 x64dbg 将x64dbg附加到Overwatch.exe,然后执行OverwatchDumpFix命令。 在x64dbg的“插件”菜单中打开Scylla ,然后在“附加到活动进程”下拉列表中选择Overwatch.exe。 单击“ IAT自动搜
bin解包工具1.08
12-17
一款很好用的BIN解包工具,1、不需要知道扇区大小等参数.-sp会自动扫描。 2、不需要知道原rom是否有扇区地址块(extra),-sp会自动扫描提示,并直接导出RAW-OS-ROM。 3、-sp导出的RAW-OS-ROM(xxx.os.nb)是完全按照内存中的位置构建的,在这基础上修改定制等不会出错。 4、-sp导出的纯OS镜像用osnbtool -d都可以准确导出各分区。而nbsplit导出的xx.nb.payload大多IMGFS地址都偏离实际地址,用配套的imgfsfromnb也只能支持预定的几个机型,很多其他机型会出错。 5、osnbtool -extra插回扇区地址块(extra)的算法基于对原rom的BPB扫描得到的参数,准确无误。 6、由于插入扇区地址的算法符合标准,有的需要进一步打包为BIN的刷机包基于这个结果打包不会出错。
python爬虫requests一万条数据_Python爬虫系列1-通过requests Payload方式抓取掘金数据...
weixin_39761822的博客
11-23 448
在给同事抓取个人文章数据的时候发现get形式获取不到数据,通过分析网站结构发现需要Post请求的json格式数据;进而发现其使用的Post格式并不是Form Data 而是Request Payload ,再解决之际,顺手作为我的第一篇博客供大家学习使用,如有帮助-还请点赞????关注!将持续更新更多新的文章。Http请求中Form Data 和 Request Payload两种参数的区别 ?Ajax...
一个超简单的反编译任务(IDAPro、X32dbg
一个手掰橙的博客
12-01 6826
一个超简单的反汇编任务 所需工具 IDAPro、X32dbg、Visual C++ 6.0 实验步骤 首先,我们新建一个简单的程序并编译运行。 这里笔者建立了一个弹窗程序,运行结果如下: 进行IDA逆向分析,我们可以通过空格键来切换视图,这时可以看到HelloWorld这部分的地址为00401031 在X32dbg中打开test_hello.exe后,找到目标地址 同时在转储中跟随 这时我们可以对“Hello,world!”进行编辑更改 接下来生成补丁文件并保存 此时打开新文件soe
x32dbg/x64dbg修改后如何保存到exe
未名编程
08-06 8831
右键------->补丁------->修补文件就可以保存了,选择调试文件( Patch File) 注: 1、快捷键为ctrl+P 2、保存时输入.exe,比如test.exe
什么是payload
qq_44833342的博客
05-29 5380
可以导致系统崩溃、数据泄露、远程控制等多种攻击行为。在计算机安全领域中,Payload 通常是黑客利用漏洞进行攻击的最重要部分之一。发送的恶意代码或指令,用于实现攻击目的的数据包。Payload 可以是一个简单的指令,也可以是一段复杂的代码。Payload(有效载荷)是指在计算机安全领域中,指的是攻击者在利用漏洞时,通过向受攻击的系统。
脱壳_00_压缩壳_ASPACK
weixin_30588675的博客
04-19 186
写在前面的: Aspack是最常见的一种压缩壳,具有较好的兼容性、压缩率和稳定性,今天我们就来一起分析一下这个壳; 零、分析压缩壳: 0、在开始动态调试前,用PEID和LoadPE查看一些信息,做到心中有数; 1、了解了基本的信息后,我们将文件拖到调试器中,进行分析分析之前,要明确以下几点,这也是我们的目的(分析时,该做些什么); I). 找到原...
--payload-delimiter
03-28
payload-delimiter是一种用于分隔数据包中不同部分的特殊字符或字符串。它在通信协议或数据格式中起到标记不同数据段的作用,以便接收方可以正确解析和处理数据。 在网络通信中,payload-delimiter可以用于分隔不同的消息或数据块。它可以是一个特定的字符,比如换行符、制表符或者其他不常见的字符,也可以是一个固定长度的字符串。 payload-delimiter的使用可以帮助接收方准确地切分和解析数据,确保数据的完整性和正确性。它在很多通信协议和数据格式中都有应用,比如HTTP协议中的头部和正文之间的空行,以及CSV文件中不同字段之间的逗号等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值