病毒分析教程第十话--动态解密payload

本文介绍了如何动态解密使用自定义加密算法的恶意软件payload。通过使用x32dbg设置断点,分析样本行为,发现解密函数,并使用Scylla插件恢复IAT表,从而方便进一步的恶意代码分析。
摘要由CSDN通过智能技术生成

近年来,恶意软件越来越多的使用自己编写的加密算法。这就是为什么很多情况查壳工具并没有检测出壳,但恶意代码还是被混淆的原因,下面,我们就来学习下如何动态解密恶意软件中的payload。样本:61c19e7ce627da9b5004371f867a47d3,下载地址:https://app.any.run/tasks/e163502e-3334-46d9-aeb7-e5c925b64af7。

使用查看工具检测样本,提示是未知壳,黑客还为了伪装将节段篡改成UPX的名称。
1
使用IDA分析样本,发现一大段灰的,很大概率这一段就是被加密的恶意代码。
2
好,接下来就用x32dbg进行动态解密,把样本拖入x32dbg,按一下F9,会自动断在入口点的位置。
3
这里讲一个小技巧,恶意软件解密代码之前一般会调用VirtualAlloc申请内存,或调用VirtualProtect修改内存属性,所以,我们输入命令bp VirtualProtect、bp VirtualAlloc下断点,这样程序大概率可以断在解密代码的附近。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值