IDA+VM调试分析主引导区病毒key加密算法

最新推荐文章于 2023-11-27 19:04:18 发布
最新推荐文章于 2023-11-27 19:04:18 发布
阅读量777 收藏 1
点赞数
文章标签: 算法 python 反汇编 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34652083/article/details/119337805
版权

#1.修改虚拟机vmx配置,后面附加上

debugStub.listen.guest32 = "TRUE"
debugStub.hideBreakpoints = "TRUE"
bios.bootDelay = "12000"

bios.bootDelay = “12000” 表示12s延时等待IDA远程连接调试,默认端口为8832.
#2.因为IDA默认反汇编是32位,而MBR是16位汇编代码,所以需要调整
在这里插入图片描述
#3.在mbr载入内存处0x7c00处下断点
在这里插入图片描述
#4.调用int 13 42号磁盘读取功能读取0x20个扇区到0x8000处执行
在这里插入图片描述
#5.既然读取到内存执行,可以先把32个扇区的内存,每个扇区占用512字,32个扇区也就是0x4000字,先dump下来分析逻辑,idc脚本如下:

static main(void)
{
auto fp,begin,end,dexbyte;
fp =fopen("F:\dump.so","wb");
begin=0x8000;
end=0xb000;
for(dexbyte=begin;dexbyte<end;dexbyte++)
fputc(Byte(dexbyte),fp);
}

#6.查看输入页面
在这里插入图片描述

#7.静态分析dump.so,为了兼容数据,调整offset并Alt+s设置16位反汇编,找到提示错误密匙的相关字符串和相关判断逻辑
在这里插入图片描述
#8.通过寻找关键的调用找到判断点

最低0.47元/天 解锁文章
1want0
关注
C++常用软件分析工具从入门到精通案例集锦汇总
dvlinker的技术专栏
06-26 11万+
C++软件分析工具案例分析集锦!根据近几年C++软件异常排查的项目实践,详细地讲述如何使用PE工具、Dependency Walker、GDIView、Process Explorer、Process Monitor、API Monitor、Clumsy、DebugDiag、Windbg、IDA Pro等常用分析工具,以及如何使用这些工具去巧妙地分析和解决日常工作中遇到的问题,有很强的实战参考价值!
IDA+ADB调试so文件(USB连接手机方式)
supernovaExp的博客
10-22 2281
一、把手机通过usb接口连上pc 二、把IDA目录dbgsrv文件夹下的android_server文件传到手机 以IDA路径D:\IDA_Pro为例 1.打开CMD进入D:\IDA_Pro\dbgsrv d: cd D:\IDA_Pro\dbgsrv 2.检查ADB是否已经正确安装 adb 3.接着把IDA的android_server文件
VMAttack 2016出的最新的分析vmp的ida插件源码
01-20
2016公布的最棒的ida插件,英文版,源码,python写的,可以自动半自动分析vmp源码,非常棒的ida插件源码
ida 如何进行vmware linux虚拟机动态调试
fishyfine的博客
04-11 1348
一.查看虚拟机ip 使用命令ifconfig注意是if,windows下是ipconfig,有所不同. 那么我们就可以看到虚拟机得IP了 如果看不着ip,查看一下虚拟机能否上网 虚拟机无法上网得办法可以看看这个https://blog.csdn.net/fishyfine/article/details/115589468 二.确保你的windows系统可以ping得通虚拟机 如果ping不上,可能虚拟机防火墙没关,用指令sudo ufw disable关一下 三.然后我们就可以打开我们的ida,设置一
汇编学习笔记(8)-IDA+VMware调试MBR
weixin_30684743的博客
03-05 375
前言   前面介绍了几种自己探索的MBR调试方法,但是可能都没有以下这种方式来的暴力。   IDA+VMware 通过GDB来调试。   参考:https://www.52pojie.cn/thread-173889-1-1.html   声明: 博客直接搬运了以上链接中的图片和部分文字,侵删。 步骤:   1. 先将编译好的汇编BIN文件通过Bootice.exe或者其他工具、其他手...
加密与解密第三章:IDA的基本操作
weixin_34358365的博客
07-10 607
IDA编辑二进制代码 edit->patch program 参考:https://blog.csdn.net/hgy413/article/details/50650232 IDA打开应用程序时,会为其创建一个数据库,后缀为IDB。IDB由4个文件组成: 后缀为id0的二叉树形式的数据库,后缀为id1的程序字节标识,后缀为nam的Named窗口的索引信息,后缀为til的给定数据库的本地类型...
cocos2d-LUA逆向之用idaPro调试so库获取xxtea解密key
热门推荐
zzwlpx的博客
06-01 1万+
    以一个棋牌类app大神.apk为例,,首先我们需要获取apk里面的脚本资源,可以直接用360好压解压缩apk安装包,会得到如下目录:        其中,lib目录含有我们需要调试的so库文件,文件名一般是libcocos2dlua.so或带有cocos字样,当然也有例外,我们需要破解的这个app就有些不一样,名字为libgame.so,不论名字如何变化,拖到idaPro中便知是否用的co...
安卓逆向学习笔记之Frida+ida trace分析非标准算法
最新发布
03-15
分析非标准算法时,IDA的图形化界面和高级分析功能(如函数识别、数据流分析等)尤其有用。 在分析非标准算法时,通常的步骤如下: 1. **准备环境**:首先确保你的设备已经安装了Frida服务器,并在目标应用上...
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
3. **调试和动态分析**:使用IDA调试器,设置断点,观察程序运行时的内存变化和函数调用。 4. **编写脚本**:通过IDAPython API编写自定义脚本,自动化某些分析任务,如查找特定模式或计算数据依赖。 对于Qt5...
antiVM ida pro插件-快速识别anti-vm行为
jentle8的博客
09-01 440
目的是减少分析人员对抗时间。 ida 插件识别反虚拟机反调试
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
[GWCTF 2019]babyvm 详解 (vm逆向 IDA结构体)
sirrior的博客
11-27 1045
这是笔者做的第一道vm题,虽然相较于同类题题面很简单,但是在过程中收获了很多。
vmp壳原理分析笔记----ELF文件的加载,链接,IDAPYTHON
zhangmiaoping23的专栏
01-17 2332
vmp壳原理分析笔记 分析的样本为某数字公司最新免费壳子。之前的壳子已经被很多大佬分析了,这篇笔记的要目的是比较详细的分析下该vmp壳子的原理,数字壳子要分为反调试,linker,虚拟机三部分。笔记结构如下: 反调试 时间反调试 rtld_db_dlactivity反调试 traceid反调试 端口反调试 linker部分:用来加载第二个so 装载 ...
利用IDA的F5来反VMP2.x的Mutation保护
Lixinist的博客
04-08 1676
先说说我对IDA的看法:我怀疑IDA公司有内鬼。 我的目的是用IDA的F5来反编译出经过VMP2.x的mutation保护的代码。 F5的自动化反混淆很好用,可以清掉vmp2.x的90%的变异代码。 但是交互可能是“内鬼”写的,用起来是真的不舒服,各种多管闲事(删了函数又自动创建出来),交互失灵(做了删函数删变量等等操作,graph和f5都没有变化,需要把当前函数删了重新创建才会变化)。 用IDA...
(VMProtect 分析)跟着ida和WinDbg逛VirtualMachine
pureman_mega的博客
12-06 1468
本文中的代码示例来源于vgk.sys(1.0.0.3): 从文件中抽出的某个handler的开头部分,代码出现的先后顺序就是其逻辑上的执行顺序。如下: .stub0:00000001405BC2AD push 2B6CD1BFh .stub0:00000001405BC2B2 call handler5 .stub0:00000001405716F3 handler5 proc near
ida7.5 dump文件
weixin_53349587的博客
02-05 1143
ELF文件加壳,一般的调试工具ollydbg和x64dbg是不能进行调试脱壳的,这个时候可以用ida进行调试脱壳,然后dump出文件即可。 1.首先我们需要进行调试找到OEP,具体方法可以参考:ELF64 手脱 UPX 壳实战 - 开发者头条开发者头条,程序员分享平台。toutiao.iohttps://toutiao.io/posts/mp5k04g/preview2.找到OEP之后,利用idc脚本提取字节: #include<idc.idc> static main() { a
ida81输入密码验证算法分析以及破解思路
q2919761440的博客
11-12 1080
本文分析ida81对输入密码的验证流程,分别对输入密码到生成解密密钥、密码素材的生成过程以及文件数据的加密过程这三个流程进行分析,并尝试找一些可利用的破绽。很遗憾,由于水平有限,目前也只是有个思路未能完全实现,故分享出来抛砖引玉。
全站最完整的新版IDA 7不能显示搜索中文字符串的解决方法
donglxd的博客
10-11 4160
接上次x64dbg的话题,现在想用ida(本人安装的是IDA7.6)静态调试程序,但是发现utf-8的字符串都无法显示。如图:可以看到IDA7.6上和X64dbg不同,String字符串窗口(快捷键Shift+F12打开)中连中文乱码都没有,都是纯ANSI码(纯英文),看来是IDA解析出毛病了,一番搜索后发现吾爱论坛有个帖子,链接如下:(https://www.52pojie.cn/thread-648679-1-1.html)给出解决方法,确实如猜测,是IDA默认按照英文文件环境在解析程序,如帖子中所说的
Android中IDA分析TexturePacker加密资源寻找加密Key
木木三的专栏
01-25 1867
一、前言 今天我们来看如何破解分析TexturePacker加密资源的加密Key。根据经验目前常用的方法有以下三种:直接hook uncompress函数,得到资源数据内容并保存;直接hook setPvrEncryptionKeyPart函数(不同版本的cocos2dx引擎可能函数略有不同)打印Key;用IDA调试分析so文件来获取加密Key。前两种方法hook代码量比较多,通常要在Andr...
实战恶意软件分析病毒木马解析指南
"Practical Malware Analysis 是一本关于病毒木马分析的专业书籍,书中包含大量实践案例,适合读者亲手操作,提升在病毒分析、木马分析、逆向工程和软件调试方面的技能。本书受到多位业内专家的高度评价,被认为是对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值