IDApython在恶意软件分析中的应用

最新推荐文章于 2023-03-14 21:12:13 发布
最新推荐文章于 2023-03-14 21:12:13 发布
阅读量458 收藏
点赞数 3
分类专栏: RootKit Windows逆向 Windows病毒分析 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/110055723
版权

IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。

IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息
使用的前提是:
一、病毒家族样本的加密函数固定有规律有通性。
二、病毒样本的加密函数比较简单或者标准,可以通过逆向分析后自写代码还原解密过程。
三、病毒需要解密的根本数据来自内置在PE里的HEX数据,不是需要VirtualAlloc等函数动态申请的内存

解密URL地址

本文参照 Josh Grunzweig 2016年的博客Using IDAPython to Make Your Life Easier: Part1、2和6。
该博客中最具有价值的应用是第6部分,从此博客中可以看到IDApython可以在恶意软件分析中能有效自动化解密出被加密的URL,基本上实现了从文件PE直接得到URL的快捷有效手段。
样本MD5:4BEFA0F5B3F981E498ACD676EB352D45
在这里插入图片描述
样本中具有规律特点的代码。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-20 4045
恶意代码分析实战——利用IDA PRO分析Lab05-01.dll 1.实验目的 利用IDA Pro分析Lab05-01.dll发现的恶意代码,回答以下问题: DLLMain的地址是什么? 使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 有多少函数调用了gethostbyname? 将精力集在位于0x10001757处的对gethostbyname的调用,你能找出哪个DNS请求将被触发吗? IDA Pro 识别了在0x10001656处的子过程的多少个局部变量?
恶意代码分析实战 3 IDA Pro
农夫果园好好喝的博客
01-24 1232
双击进入sub_100038EE函数查看,发现其调用了了malloc函数创建了内存空间,然后又调用了send函数,最后调用了free函数释放内存空间,所以猜测可能是对注册表SOFTWARE\Microsoft\Windows\CurrentVersion进行了修改或查询操作,然后再将结构发送出去。该函数调用了GetSystemDefaultLangID和send,该信息告诉我们,该函数可能通过socket发送语音标志,因此,右击函数名,给他一个更有意义的名字,例如send_languageID。
ida使用技巧:ida python
m0_52164435的博客
03-14 3319
一、简介 ida pythonida一个很强大的功能,早期需要另行下载,后来在6.8版本成为了内置插件,而在7.5版本更新后又对函数的命名进行了规范修整。 ida python官方提供了函数文档:https://www.hex-rays.com/wp-content/static/products/ida/support/idapython_docs/ IDC api函数文档:https://www.hex-rays.com/products/ida/support/idadoc/162.shtml 二
python exe 编译_原创干货 | 【恶意代码分析技巧】02exe_python
weixin_39820185的博客
11-27 436
由于恶意代码分析系列第一篇发出后,被粉丝强烈催更,小编不得不加急为大家更新了第二篇,作者大大还在持续编写,这次的系列会非常的丰满哦,请大家持续关注公众号,第一时间收到系列更新哦!1、python虚拟机计算机发展至今已经有了机器语言、汇编语言和高级语言三种。计算机能够直接识别的是机器语言,不同的CPU使用的机器语言不是完全相同的;汇编语言本质上是和机器语言是一样的,只不过汇编指令...
Malware-Analysis-Scripts:方便的脚本可加速恶意软件分析
05-04
2. **字符串处理与正则表达式**:在恶意软件分析,通常需要对二进制文件或日志进行文本处理,提取关键信息。Python的`re`模块提供了正则表达式功能,用于高效地匹配和提取特定模式的字符串,这是分析过程常见的...
PEframe for Win10 with Python 3.10 离线安装文件
09-15
同时,由于它是用Python编写的,因此可以方便地与其他Python工具和框架集成,如IDAPython(用于交互式调试)或Volatility(内存取证分析工具)。 总结来说,PEframe for Win10 with Python 3.10离线安装文件提供了...
Analysize-Tools:这是我开发的一些有助于分析恶意软件的工具
03-29
在IT安全领域,恶意软件分析是一项至关重要的任务,它涉及到识别、理解和预防各种形式的恶意软件,如病毒、蠕虫、特洛伊木马、勒索软件等。本项目"Analysize-Tools"是一个专门针对这个领域的工具集,由Python编程...
Python-uEmu是一款基于unicorn引擎的IDA的可爱仿真插件
08-12
- **恶意软件分析**:通过动态仿真,观察恶意软件的运行行为,找出隐藏的恶意功能或通信模式。 - **漏洞挖掘**:在安全审计,可以利用插件来触发潜在的漏洞,辅助分析漏洞触发条件和影响范围。 - **软件逆向**:在...
paimei-1.1-review22软件分析工具
04-09
此外,IDA还提供了脚本接口,允许用户通过Python等编程语言扩展其功能,自动化分析任务,这与"软件分析"和"python"这两个标签相吻合。 MySQL在该工具的角色可能是用于存储和管理分析过程产生的大量数据。例如,...
IDAPython手册(文版)
11-03
IDAPython手册(文版) 第一次尝试自己翻译,如有翻译错误,再进行修改
恶意代码分析实战-通过IDA对恶意代码进行静态分析(Lab05-01.dll)
maluxiao123的博客
10-19 1316
恶意代码分析实战,Lab05-01.dll
IDAPython的妙用
热门推荐
把梦想放飞在蓝色的天空里...
03-04 1万+
看过Python灰帽子的密友都知道IDAPython在逆向的场景常常能够发挥出巨大的威力,笔者偶然一次在逆向的过程使用了它,下面就来总结一下使用的一些注意事项: 环境:IDA 6.1 ,android 2.3 AVD。 我这个IDAPython的版本是: -------------------------------------------------------------------
IDAPython基础教程一
Yale的博客
01-16 1万+
给出的文件名为rabbithole 首先使用file命令查看一下 可以看到是64位的可执行文件 接下来我们切换到win,使用IDApro载入,以此文件为样例,学习IDAPython的用法。 首先介绍下IDAPython的背景。 IDAPython创建于2004年。这是GergelyErdelyi和Ero Carrera的共同努力。他们的目标是结合强大的python与自动化分析IDA的类C脚本...
恶意代码分析-第五章-IDApro
每昔的博客
07-30 712
设置 Options - General,选择Line prefixes并设置Number of Opcode Bytes 为6.可以看到16进制代码 Options - General,选择Auto comments,IDA帮助注释 窗口 函数窗口:左拖拽,可以看到长度,以函数长度排序,过滤出规模大的函数 每个函数也关联了一些标志位(F,L,S)。L--库函数 名字窗口:函数名,命...
idapython常用api记录7.0
LoopherBear的博客
02-13 3716
2019-02-13 idapython常用api记录 以下代码片段可以在ida的output窗口测试用,需要引入相关的模块即可。 import idaapi import idc import idautils 后续需要使用的程序代码指令 0017C24 CODE32 LOAD:00017C24 LOAD:00017C24 ; ==============...
恶意代码分析方法(一)
shannow_123的博客
02-27 2533
1.哈希值 工具:MD5deeep 用于判定开发者的程序是否被修改 2.查找字符串 帮助了解程序功能属性 3.动态链接函数 工具:DependencyWallker 根据调用的DLL模块的函数推测功能 常见三大dll模块 user32.dll 是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息 包含图形界面操作,可能为图形化界面 gdi...
python常用api_IDAPython常用API整理
weixin_39959505的博客
11-23 1083
1在使用IDAPython编写插件时,常使用的三个库为idaapi、idc和idautils,下面的这些API方法均来自这三个模块。Idaapi模块导入了所有的以“ida_*.py”格式命名新模块,相当于所有新模块的整合。需要注意的是在IDAPython有一个模块为idc_bc695,这是作为一个兼容之前版本(IDA 6.95)的脚本化插件而存在的模块,因为在IDA7.0版本发布时,其的某些...
ida-idapython
qq_43390703的博客
10-08 428
IDAPython IDAPython是Gergely Erfelyi开发的一个插件,在IDA集成了python解释器,并且IDAPython还具有IDA SDK大部分功能,所以它能比IDC写出功能更加强大的脚本。但是IDAPython能够参考的文档较少。 我们可以通过IDA目录下python子目录关于IDAPython的三个模块进行学习。 实例 代码来自《揭秘家用路由器0day漏洞挖掘技术》。 #源代码 IDAPython处理危险函数交叉引用 def getFuncAddr(fname): retur
X64dbg正确使用姿势
摔不死的笨鸟的博客
11-25 1万+
X64DBG是目前来说64位windows操作系统最主流的调试器,这里简单介绍下一些需要注意的使用姿势。 1、取消系统断点。默认是系统断点,可以打开,选项-设置把系统断点勾掉,只断入口断点和TLS回调函数。 2、带参数调试进程。文件-改变命令行。 3、寄存器上右键高亮,可以高亮寄存器,阅读shellcode时比较容易分辨寄存器值变化。或者使用快捷键H键。 4、循环指令设置条件记录断点的方法(脱解密壳或逆算法基本必用): 指令上首先F2下断点,然后在断点界面右键Edit,设置暂停条件。并记录寄存器情况
python 安装IDApython
最新发布
05-04
Python是一种高级编程语言,它具有简单易学、可读性强、功能强大等特点,被广泛应用于各个领域的软件开发和数据分析。而IDApython是一种用于在IDA Pro编写插件和脚本的Python库。 要安装IDApython,可以按照...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值