恶意代码分析-第九章-OllyDbg

最新推荐文章于 2023-04-24 19:53:52 发布
最新推荐文章于 2023-04-24 19:53:52 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 恶意代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37809075/article/details/81454117
版权

目录

 

笔记

实验

Lab 9-1

Lab 9-2

Lab 9-3

笔记

加载文件:

执行代码:

Execute till Return -> 在当前函数返回时暂停执行 -> CTRL-F9

Execute til User Code ->从库函数中出来回到user code -> ALT-F9

单步跳过陷阱:

              010073a4 call 01007568

              010073a9 xor ebx,ebx

            首先OllyDbg在010073a9处设置一个断点,然后恢复执行,当子例程执行ret指令时,由于命中隐藏断点,会停在010073a9.

            但在有些情况下,例如01007568处的子例程可能没有ret指令,或者可能是一个从栈中弹出地址来获得EIP的操作。在这种情况下,没有暂停效果。

加载DLL

停的地方

调试导出函数

跟踪

运行跟踪

Add Selection:

异常处理

Shift + F7 进入异常

Shift + F8 跳过异常

Shift + F9 将运行异常处理

修补操作

修改

Copy to executable -> all mod

save file

分析shellcode

可以借助于OllyDbg进行分析,方法如下:

1  将shellcode从一个十六进制编辑器复制到剪贴板。

2  在内存映射面板窗口中,选择类型为Priv的内存区域(这是分配给进程的私有内存,与只读的可执行镜像不同,这些内存被多个进程共享)。

3  在内存映射面板窗口中,右击被选择的区域,选择Set Access --> Full Access,赋予该区域读、写、运行的权限。

4  双击内存映射面板窗口的某行,会弹出一个十六进制转储窗口,你可以检查它的内容。该区域应该包含几百个连续为0的字节。

5  返回内存转储窗口。0字节填充的高亮度区域足以容纳整个shellcode,右键单击选择的内存区域,然后选择Binary --> Binary Paste。这个操作将步骤1中复制的shellcode粘贴到选择的区域。

6  设置EIP寄存器,指向你修改的内存区域(右击返汇编面板窗口的一条指令,选择“此处为新EIP”,可以很容易设置EIP寄存器的值)。

插件 

繁(烦)多的插件http://www.openrce.org/downloads/browse/OllyDbg_Plugins

书签

Bookmark -> Insert Bookmark

ImmDbg

实验

Lab 9-1

Lab 9-2

1.查看静态字符串

2. 静态/动态分析

 调用CetModuleFileNameA获得带路径的文件

 _Strrchr函数找最好一个“\”的位置,看与ocl.exe是否一致

sub_401089是对域名的字符串解密

 进去sub_401000的函数

shell是通过这个CreateProcessASTARTUPINFO来绑定stdoustderrstdincmd上的,只有这样才能把这些东西绑定在cmd上 。

Lab 9-3

1.Lab09-03.exe导入了哪些DLL

DLL1     DLL2      KERNEL32     NETAPI32

           查看对LoadLibraryA的交叉引用,当引用第三方库的时候会调用这个函数

2.DLL1.dll、DLL2.dll、DLL3.dll要求的基地址是多少

对LoadLibraryA加断点,让其加载DLL3。然后再OD中查看各个基地址

 4.当Lab09-03.exe调用DLL1.dll中的一个导入函数时,这个导入函数都做了什么

打开DLL1找到DLL1Print函数,可以判断出这个是个输出字符串函数,现在要找到变量dword_10008030

 对dword_10008030跟踪,找到对这个变量修改的地方

输出当前线程ID 

5.当Lab09-03.exe调用WriteFile函数的时候,它写入的文件名是什么

跟踪hFile得到这个值来自于DLL2ReturnJ的返回值

在另一个IDA中打开DLL2,找到Export窗口

 值来自于dword_1000B078

跟踪 dword_1000B078这个值

 可以看到下面的地方对这个值进行修改了,并且值为temp.txt

6.当 Lab09-03.exe使用NetScheduleJobAdd创建一个job时,从哪里获取第二个参数的数据 

第二个参数是一个指向的结构体,这个参数同时也是DLL3GetStructure函数的参数

所以跟踪到Dll3 的DLL3GetStructure函数的参数是stru_1000B0A0

 找到这个位置,查看交叉引用

7.在运行或调试Lab09-03.exe时,你会看到Lab09-03.exe打印出三块神秘数据。DLL 1的神秘数据,DLL 2的神秘数据,DLL 3的神秘数据分别是什么

如上

8.如何将DLL2.dll加载到IDA Pro中,使得它与OllyDbg使用的加载地址匹配

手动加载

选择 OD中的Dll2基地址

 

每昔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战 6 OllyDbg
农夫果园好好喝的博客
01-24 1836
首先,进行静态分析,使用strings。HTTP/1.0GETSLEEPcmd.exe>> NUL这里有一些东西我们比较在意,我们可以看到该程序对注册表和环境变量进行了一些操作,并且具有网络特征;出现了cmd.exe可能具有远程shell的功能;创建了文件,可能下载了什么东西。接下来进行动态分析,将程序拖入IDA和OllyDbg中,在IDA中查找该函数的起点,然后在OllyDbg中定位到起点,进行分析
恶意代码分析实战9-2
Yale的博客
05-27 701
本次实验我们将会分析lab09-02.exe文件。先来看看求解答的问题如下 Q1.在二进制文件中,看到的字符串是什么 Q2当运行这个二进制文件时,会发生什么 Q3怎样让恶意代码的攻击负载(payload)获得运行 Q4在地址0x00401133发生了什么 Q5传递给sub_401089的参数是什么 Q6.恶意代码使用的域名是什么 Q7恶意代码使用什么编码函数来混淆域名 Q8恶意代码在0x0040106e处调用CreateProcessA函数的意义是什么 为了回答第一个问题,直接使用strings.exe查看
小甲鱼 OllyDbg 教程系列 (十二) : inline patch ( 内嵌补丁 ) 之 调用堆栈查找法
freeking101的博客
11-20 407
小甲鱼OD教程:https://www.bilibili.com/video/av6889190?p=20 堆栈调用方法 程序运行后,直接断点到 004DC0D1这个位置,按F8一直没反应,打开程序,可以看到neg窗口, 点击exit ,关闭neg窗口,发现程序开始往下走 可以断定,断点位置的 call调用就是neg窗口的过程: 既然找...
动态调试OllyDbg工具
最新发布
xuanyitwo的博客
04-24 504
​ F7: 单步步入,功能同单步步过(F8)类似,区别是遇到call等子程序会进入其中,进入后首先会停留在子程序的第一条指令上。​ ctrl+F9: 执行到返回,此命令在执行到一个ret(返回指令)时暂停,常用语从系统部分返回到我们调试的程序部分。3.当程序运行到这个地址的时候,CPU会向OD发送异常信息,然后程序中断,等待用户操作。​ F2: 设置断点,只要在光标定位的位置按F2即可,在按一次F2键则会删除断点。​ F9: 运行,按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
OD修改加载外部DLL动态链接库运行
az44yao的专栏
03-07 3058
pushadmov  eax, 00d8dab0push eax      文件名call 004092F4  loadlibrarymov ebx,eax    传送句柄mov eax,00d8dad0  函数名push eax   函数名入栈push ebx   句柄入栈call 00409214     GetProcAddress 获得函数地址mov ecx,00d8dae0  参数pus...
OllyDbg使用方法
Hvnt3r的博客
03-24 6206
知识点 **加载恶意代码:**OD可以直接加载可执行文件,也可以加载DLL文件,也可以将调试器附加在进程中,我们甚至可以用命令行运行恶意代码或者执行DLL中的某个函数。 **加载可执行文件:**在加载可执行文件的时候OD会使用它的加载器来加载这个程序,并可在此过程选择运行的命令行参数。如果OD能确定程序的main函数就在main处中断,否则在程序PE头提供的程序入口点中断。 **附加调试器到一个程...
OllyDbg2.0.1.alpha4中文版-2011-9-12
09-11
这对于分析病毒、木马、恶意软件的行为,以及优化和调试自己的代码非常有帮助。 在OllyDbg中,你可以: 1. **跟踪内存**:查看程序运行时的内存状态,包括变量的变化、堆栈的操作等。 2. **反汇编代码**:将机器码...
MBR-BOOTKIT分析,样本
03-28
3. **逆向工程**:使用逆向工程工具(如IDA Pro、OllyDbg等)分析样本,理解恶意代码的执行流程,包括如何在启动过程中加载和执行隐藏的恶意模块。 4. **内存分析**:由于BOOTKIT可能会在内存中隐藏其活动,因此...
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
9. 内核套件的描述是恶意代码将自身安装到一台计算机来允许攻击者访问。 10. 网络造成破坏的软件恶意代码编写者使用 Detours 库执行对导入表的修改,挂载 DLL 到己有程序文件,并且向运行的进程添加函数钩子等。 ...
ollydbg_入门教程
07-27
通过ollydbg,我们可以查看程序内部的工作机制,理解代码逻辑,甚至可以对恶意软件进行分析和研究。 二、安装与界面 首先,你需要下载并安装ollydbg。安装完成后,启动程序,你会看到一个经典的Windows应用程序界面...
HH_OllyDBG_1.10_second_cao_cong.rar_IsDebug V1.4.d_Ollydbg1.10_i
09-19
Ollydbg是一款流行的Windows平台下的十六进制调试器,它提供了丰富的功能,使程序员和逆向工程师能够深入理解程序的运行机制,查找并修复错误,或者进行恶意软件分析Ollydbg 1.10 是该工具的特定版本,其稳定性...
恶意代码分析实战 Lab 9-3 习题笔记
isinstance的博客
01-11 1583
Lab 9-3 问题 1.Lab09-03.exe导入了哪些DLL? 解答: 我们还是跟着书上的步骤开始,先看看Lab09-03.exe导入了哪些DLL 这里我们可以看出,导入了KERNEL32.DLL、NETAPT32.DLL、DLL1.DLLL和DLL2.dll这四个DLL ,然后我们去IDA里面看看 我们跟随书中做法,找到LoadLibrary调用并检查 反正我是
实验四: 恶意代码分析
weixin_33712881的博客
10-24 254
学号:201421440036 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 喀依拉 年级 2014 ...
execute返回值的问题
wuxinliulei的专栏
11-02 9226
该方法的返回值: true if the first result is a ResultSet object; false if it is an update count or there are no results 所谓“the first result”,意思就是说这个操作实际上会有多个结果。怎么得到这多个结果呢?调用 getResultSet() 或者 getUpdateCou
数据逆向(四)——结构体识别
蛛丝
08-12 2222
<br />结构体<br />       struct是由一系列具有相同类型或不同类型的数据构成的数据集合,也叫结构。它的实现方法上和数组是一样的,即每一个成员的访问是直接寻址方式。唯一的区别是,为了提高访问效率,成员无论类型为何,编译器将它们按照4字节对齐。<br /> <br />eg:struct test<br />       {<br />            char str;<br />            int i;<br />        };<br />       test
OllyDbg使用小技巧(慢慢积累)
faithzzf的专栏
03-29 1115
由于工作需要,偶尔会使用OllyDbg动态调试。这里对一些小技巧或者方法进行简单归纳总结。           1 某些时候我们会结合IDA进行逆向分析,在IDA中查找到某个函数或者API调用,我们可以记住IDA中的地址信息,然后在OllyDgb中按Ctrl+G,输入地址,跳转到该地址处,分析该代码段或者下断点调试。
【加解密学习笔记:第二天】动态调试工具OllyDbg使用基础介绍
sinat_35794373的博客
08-16 971
首先说一下OllyDbg的界面,如下图所示 下面依次介绍: 反汇编面板:有四列,从左到右依次为:地址(Address),机器码(Hex dump),反汇编代码(Disassembly),注释(Comment) 信息面板:在进行动态跟踪时,信息面板窗口(Information window)将显示与指令相关的各寄存器的值,API函数调用提示和跳转信息提示等信息。 数据面板:显示程序在内存中的数据,...
OllyDbg基础教程
热门推荐
w_g3366的博客
07-15 1万+
OllyDbg基础教程 工具栏 各种窗口切换 1.日志窗口(L): 2.模块窗口(E):查看每个模块的内存基址 3.内存窗口(M):查看每一个模块的段,所占用的内存区域 4.线程窗口(T):线程信息 5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息 6.句柄(H): 7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要 8.补丁窗口(/): 9:堆栈窗口(K):可...
第19章-OllyDbg反调试之IsDebuggerPresent1
08-03
第19章-OllyDbg反调试之IsDebuggerPresent1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值