[转]病毒分析工具-OllySafe

[转]病毒分析工具-OllySafe

2009年03月11日 星期三 10:04

转自   作者: domino 原帖地址:http://www.unpack.cn/viewthread.php?tid=21146&extra=page%3D1 OllySafe 一、What’s fucking this 病毒分析工具OllySafe其实就是MiniSafe的专业版，是一个专门为病毒分析员提供的OllyDbg插件，它可以对病毒操作文件、注册表、进程进行拦截分析，能够简化病毒分析难度，协助好病毒分析工作。 二、如何安装 解压安装包后把olly_hardware_breakpoint.dll、MiniSafe.exe、OllySafe.sys三个文件拷贝到OllyDbg的Plugin目录下即可完成安装，注意不要超过32个插件的上限了，最好在OllyDbg的安装目录下也拷贝一份。 三、使用说明 以壳和花指令都比较多的icesword为例。 用OllyDbg打开icesword，可以看到OllySafe自动运行了。 最小化OllySafe窗口。 按F9运行icesword。    首先可以看到icesword加载的部分DLL文件，先不管，点击是加载之。    然后可以拦截到icesword对注册表的操作，要写入/SystemRoot/System32/Drivers/IsDrv120.sys，先拦截下来看一下多，点击暂停。 再点击是先让其修改注册表。一般来说程序会停在Ntdll.dll模块中，要用ALT+F9返回到用户代码。 但由于Icesword是自己直接调用的Native Api，所以可以省去这一步了：） 就可以看到icesword操作注册表的相关代码。F9继续运行 进程IceSword_unpacked.ex试图加载驱动/Registry/Machine/System/CurrentControlSet/Services/IsDrv120 这次拦到的是驱动加载操作了。 点击暂停后返回用户代码，这次点否。 上下翻看，可以发现IceSword第一次加载驱动不成功后还会使用随机文件名加载驱动。 好了，如何使用暂时先说到这里。 四、注意事项 1、为了安全，OllySafe运行时禁止任何进程的创建。这主要是防止病毒通过Winexec创建不受OllySafe监控的恶意程序，所以你在调试时想运行的程序请在启动OllySafe之前运行。     =========================================== 纳米盘下载:www.namipan.com/d/5013ac5e2fe79bca64b3c5ebdb0e15c63d0eafb4f7620e00 ================================ 如果出现错误: 1.如果出现加载 OllySafe.sys 错误,可能是安装了影子系统,或者相类似的功能的还原软件.或者是某些安全软件禁止加载OllySafe.sys了.请自己检查下. 2.如下错误,把OD 名稱改為 ollydbg.exe