1 前言
使用IDA Pro进行分析时,通常只是利用它的反汇编功能,更快的分析汇编代码辅助后续需要采用的动态调试过程。由于hexray插件的强大,极大的提升了逆向效率。但是对于没有签名库匹配的情况下,得到都是未命名的函数,所以识别这些函数就成了一个问题。
提及一下FLIRT的原理:从函数的前32个字节中提取模式并使其成为签名。当然,如果模式相同,则会发生冲突。如果需要提取签名的库很大,则会遇到很多奔溃错误。
openssl算法库在勒索病毒(853358339279b590fb1c40c3dc0cdb72)中也算是比较常见,会静态链接至恶意软件,这为制作签名提供了基础。
所以接下来就是比较接近实操的IDA签名制作过程,记录一下。
首先逆向勒索病毒的时候通过IDA的字符串搜索功能找到使用的openssl版本号,这里是openssl-1.1.1b。
C:\\lib\\openssl-1.1.1b\\win32-release\\lib\\engines-1_1
需要一个库文件来制作签名,库文件是.lib文件,等效于.dll,同样编译openssl还需要Perl环境。
2 开始安装环境
在Window安装Perl&