IDA具有yara的批量识别能力,虽然速度上差了点,但是却有着强大的静态分析处理能力接口,病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码,使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。
IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本,静态上解密或者去混淆,最终以得到病毒样本的URL和IP地址为主要价值信息
使用的前提是:
一、病毒家族样本的加密函数固定有规律有通性。
二、病毒样本的加密函数比较简单或者标准,可以通过逆向分析后自写代码还原解密过程。
三、病毒需要解密的根本数据来自内置在PE里的HEX数据,不是需要VirtualAlloc等函数动态申请的内存
解密URL地址
本文参照 Josh Grunzweig 2016年的博客Using IDAPython to Make Your Life Easier: Part1、2和6。
该博客中最具有价值的应用是第6部分,从此博客中可以看到IDApython可以在恶意软件分析中能有效自动化解密出被加密的URL,基本上实现了从文件PE直接得到URL的快捷有效手段。
样本MD5:4BEFA0F5B3F981E498ACD676EB352D45
样本中具有规律特点的代码。