lab1-3 使用通用脱壳工具

最新推荐文章于 2024-04-16 20:55:58 发布
最新推荐文章于 2024-04-16 20:55:58 发布
阅读量702 收藏 1
点赞数
分类专栏: 恶意代码分析实战 文章标签: windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/127659917
版权

目录

一、实验环境

二、实验思路

三、实验步骤

1、使用网络扫描工具扫描

2、查看文件是否被加壳

 3、使用通用脱壳工具进行脱壳

4、查看导入函数

5、查看程序中可打印的字符

一、实验环境

        操作系统:windows XP sp2

        软件:PEiD、Strings、VirSCAN.org、linxerUnpacker

二、实验思路

(1)利用网络扫描工具对目标程序进行扫描

(2)利用本地静态分析工具分析目标程序

(3)利用自动化脱壳工具进行脱壳

三、实验步骤

1、使用网络扫描工具扫描

        将文件上传到virscan.org进行扫描;

         从结果可以看到33个引擎报毒,说明该程序非常危险。

2、查看文件是否被加壳

        将待测文件放入PEiD中,可以看到PEiD显示文件加壳了,使用FSG进行加壳。

 3、使用通用脱壳工具进行脱壳

        将待测文件拖入linxerUnpacker中,可以看到该工具也识别了壳的类型,单击"脱壳",成功脱壳。

         使用PEiD查看壳是否被脱掉,可以看到PEiD已经识别程序由VC++6.0编写。

4、查看导入函数

        这一步的目的:通过查看导入函数,来猜测程序的功能。

        最好使用dependency walker,这里使用PEiD对导入函数进行查看:

        可以看到程序导入了三个动态链接库,分别为:MSVCRT.DLL、OLEAUT32.dll、ole32.dll。

          在ole32.dll中,可以看到程序主要使用了CUM(组件对象模型).

        OleInitialize():主要用于初始化;

        CoCreateInstance():创建一个实例。

5、查看程序中可打印的字符

        进行这一步的目的是:如果一个主机感染了该恶意代码,主机会出现哪些网络层面的特征和主机层面的特征。

        此处用的是脱壳后的程序。

        貌似没有什么具体的特征。

 

PT_silver
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用工具
04-07
通用工具,AoRE_Unpacker.exe,这只是其中一个,后面还将上传其他的。
Themida - Winlicense Ultra Unpacker 教程
最新发布
05-08
脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1239
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加,请进行,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加的情况,使用linxerUnpacker工具使用特征和OEP侦测均未成功,说明不是已知,点击未知,成功。 对于后的exe文
Android Spider Frida-Dexdump 工具下载使用以及相关技术介绍_frida-dexdump下载(1)
2401_84170414的博客
04-16 311
本案例使用的App是:引力播.apk,涉及到查、反编译;提示:以下是本篇文章正文内容,下面案例可供参考。
常用的方法
2201_75845723的博客
07-28 1144
工具使用方法。
[1196]Android逆向工具【反射大师】实战
周小董
05-19 4000
只是第一步,后面还有修改、调试、回编译,工作量都很大,以上就是环境搭建与某60实战的主要内容。确实了,但是没有修复步骤,比如修改Apk中的xml、程序入口等操作。这主要是由于不同的,修复步骤不同。分析代码这个步骤,完全是考验你的 Java 基本功 + 耐心,二者缺一不可。不过不要退缩,我们只要遵循一些技巧,就可以大幅减少工作量。由于分析过程比较繁琐,这里就不结合具体代码了,只做一些理论总结:1、从目标 API 开始入手,跟踪执行流程。
常见与反编译工具
qq_42016346的博客
07-03 4764
目录 一、Android APK 查工具 二、Xposed框架下的工具 1.Zjdroid 2. DexExtractor(可在真机使用) 3. dexdump 4.FDex2 三、Frida框架下的工具(方便且持续更新) 1. frida-Android 2. frida-unpack 3.FRIDA-DEXDump 4.frida_dump 5.FRIDA-APK-UNPACK 四、AndroidKiller插件: 1.drizzleDumper ...
工具大汇总
樱*夜精灵
02-18 7429
工具 文件类型侦测工具 peid 0.94 现在软件越来越多的加了,给破解带来非常大的不便,用这个软件可以检测出常见的各种,非常方便。更新签名库及部分插件。2008/1/1 DIE 0.64 另一款文件工具   http://hellspawn.nm.ru FileInfo v3.01r F
VMP-unpacking.rar_VMProtect2.46_vmp3 0_vmp3.0-3.0x_vmp一键_v
07-15
VMP,通过简单几个步骤不需要去研究VMP的原理了。
工具 工具 工具
06-02
工具 工具 工具
非常好用的dll工具.rar
01-18
非常好用的dll工具.rar
程序linxerUnpacker
06-15
程序linxerUnpacker,比较不错的智能程序,自动查
NET工具 DLL、exe文件
07-14
NET工具 DLL、exe文件,net语言万能工具,大多数混淆代码都可以出1
工具针对net程序.rar
04-23
推荐几种最常用的工具。现在好多软件都加,这里的工具就是为了,主要针对.net,能去市面上90%的
万能工具
09-08
工具适用于所有语言的应用程序的,方便、快捷。
zprotect 1.6 工具(附源码)
03-19
zprotect 1.6 工具 本次直接把 源代码 一并发布!
DLL文件
weixin_43575859的博客
05-19 9503
博客中用到的例子和某些程序的链接在文章末尾。 对DLL文件进行的原理和对普通PE文件进行的原理其实是差不多的,就是多了一个构造重定位表的步骤。因为DLL文件都是映射到其他进程的地址空间中,所以基址很有可能不是默认基址。而又会破坏原来的重定位表,所以我们后需要手动构造一个新的重定位表。 第一步,也是需要像普通PE文件的一样,先找到OEP,然后再把镜像文件给Dump下来。但是因为重定位的关系,我们又希望后的文件尽量和前的一样,所以我们就需要找到中进行重定位的那一段代码,然后将其跳
confuserex
01-16
confuserex是一种针对.NET程序集的混淆工具,用于加密和保护程序的代码。是指将被此类混淆工具保护的程序集进行反混淆,使其恢复原来的源代码以进行分析或修改。 要对confuserex进行,通常需要使用一些特定的工具或脚本来解除其混淆。首先,需要确定所使用的confuserex版本,并找到相应的工具。然后,根据程序集的具体情况和混淆方式,可以使用工具来逆向处理程序集,还原其原始的源代码。 需要注意的是,本身就是一项技术活,需要有一定的反混淆技术和知识。同时,也可能会涉及到一些法律和道德问题,因此在进行操作时需要格外谨慎。另外,需要提醒的是,可能会违反一些使用协议或法律规定,因此在进行之前需要对相关法律进行深入了解,并确保自己的操作不会触犯相关法律。 总之,对confuserex进行是一项复杂而技术性较高的操作,需要在充分了解相关技术和法律的前提下进行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值