shellcode分析过程中符号还原

最新推荐文章于 2022-09-02 11:04:42 发布
最新推荐文章于 2022-09-02 11:04:42 发布
阅读量262 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42539095/article/details/110063979
版权

一.基本操作

在逆向分析的过程中涉及大量符号还原的部分,该部分主要介绍一些PE结构符号还原
通过 View->Open subviews->Type libraries 打开类型库窗口,可以看到当前 IDA 加载的类型库
在这里插入图片描述
View->Open subview->Structures 打开结构体窗口,可以看到 IDA 当前 的工程数据库中已经包含的所有标准和用户自定义的结构体信息
在这里插入图片描述
在结构体窗口中,Insert 键添加结构体,选择 add standard structure添加所需要的结构
回到代码窗口,在对应的数据上右键,conver to new structure*
在这里插入图片描述

二.技巧总计

标签:加载DLL
fs30+0xC=Ldr
LDR +0xC=_LIST_ENTRY
_LIST_ENTRY+0x18=DLLBASE
在这里插入图片描述
有3C的那个对应的结构是NTheaders
在这里插入图片描述
在符号还原的过程中:
5A4D对应IMAGE_DOS_HEADER
4550对应IMAGE_NT_HEADERS
两部分的关键部分为magic与signature
在这里插入图片描述
正常顺序:
_IMAGE_NT_HEADERS过后是
IMAGE_EXPORT_DIRECTORY结构
在这里插入图片描述
申请内存空间
最后一个参数40表示的是PAGE_EXECUTE_READWRITE
在这里插入图片描述
熟识两个API:
1.VirtualAlloc
LPVOID VirtualAlloc(
LPVOID lpAddress,
DWORD dwSize,
DWORD flAllocationType,
DWORD flProtect
)
2.BOOL WriteProcessMemory(
HANDLEhProcess,
LPVOIDlpBaseAddress,
LPVOIDlpBuffer,
DWORDnSize,
LPDWORD lpNumberOfBytesWritten )

alloc的特征:
在这里插入图片描述
下面三个都是一样的功能,获取一个DLL的基地址
一:
1 00404830 mov eax,dword ptr fs:[0x30] // PEB = FS:[0x30]
2 00404836 mov eax,dword ptr ds:[eax+0xC] // PEB_LDR_DATA = [PEB+0xC]
3 00404839 mov eax,dword ptr ds:[eax+0xC] //InLoadOrderModuleList 使用模块加载顺序遍历
4 0040483C mov eax,dword ptr ds:[eax+0x18] // eax = 00400000(LDR_DATA_TABLE_ENTRY.DllBase) 第一个DLL模块基址
二:
1 00404830 mov eax,dword ptr fs:[0x30] // PEB = FS:[0x30]
2 00404836 mov eax,dword ptr ds:[eax+0xC] // PEB_LDR_DATA = [PEB+0xC]
3 00404839 mov eax,dword ptr ds:[eax+0x14] // InMemoryOrderModuleList 使用模块在内 中的顺序遍历
4 0040483C mov eax,dword ptr ds:[eax+0x10] // eax = 00400000(LDR_DATA_TABLE_ENTRY.DllBase) 第一个DLL模块基址
三:
1 00404830 mov eax,dword ptr fs:[0x30] // PEB = FS:[0x30]
2 00404836 mov eax,dword ptr ds:[eax+0xC] // PEB_LDR_DATA = [PEB+0xC]
3 00404839 mov eax,dword ptr ds:[eax+0x1C] // InMemoryOrderModuleList 使用模块初始化时的顺序遍历
4 0040483C mov eax,dword ptr ds:[eax+0x8] // eax =776C0000(LDR_DATA_TABLE_ENTRY.DllBase) 第一个DLL模块基址

将所有内容转换成同一个格式特征识别:
在这里插入图片描述
Memoryset函数的特征:
在这里插入图片描述
分配空间,并且内存加载执行(其中0x1000,0x2000,0x3000表示的是加载时不同提交方式)
在这里插入图片描述

c_404
关注
shellcode分析工具.zip
05-25
用来加载shellcode的程序,execsc.exe是cuckoo自带的,sc_test.exe是导师给的。
免杀基本知识,shellcode混淆免杀
最新发布
2401_84466223的博客
06-04 837
根据源代码我们看到在执行完call ebp以后,就执行了设置地址的操作,也就是说在shellcode存在了反弹连接的ip地址,这里我们将生成的exe程序放到debug程序,根据c的源代码,我们的shellcode是在call eax,所以首先要搜索call eax步入进去以后就进入到shellcde的代码,在shellcode找到call ebp。最常见的就是360,刚刚上传的木马没有报毒,但是几分钟之内就会被检测为病毒程序,就是因为360会使用云查杀技术,这也是360查杀能力强的原因。
(记录向)Python_MAC加密&C++还原免杀(国内杀软基本通杀)
daxi0ng的博客
09-02 1090
国内杀软基本通杀
免杀专题(一)shellcode原理
weixin_47224111的博客
12-30 3877
免杀专题(一)shellcode原理 基本概念 一段16进制的机器码,可在暂存器eip溢出后,塞入一段可让cpu执行的shellcode机器码,让电脑可以执行攻击者的任意指令。 原理 因为shellcode一般为一段汇编代码,不依赖任何编译环境,也不能像编写代码一样,调用api函数名称来实现功能。它通过主动查找dll基址并动态获取api地址的方式来实现api调用。 Kernel32.dll控制着系统的内存管理、数据的输入输出操作和断处理。 shellcode分为两个模块,基本模块和功能模块 基本模块 用
shellcode反编译成c语言代码的两种方式
weixin_43090100的博客
10-04 5690
下述所用的工具包含:IDA pro,Dev C++ 以下介绍两种方法 开始操作之前,需要知道的几个小前提 一个可执行文件包含多个字段(field), text段是程序代码段,包含着要运行程序的指令。shellcode像你说的,转成汇编语言很容易,因为shellcode本质就是一段恶意的机器码——cpu指令 逆向工程(reverse engineering)常用到的分析工具大体有两个:olly...
cpp-在恶意软件分析过程快速调试shellcode
08-15
在恶意软件分析,快速调试shellcode是一项至关重要的技能,特别是在C++环境Shellcode通常是一种用机器码编写的代码片段,它被设计为在内存执行,绕过安全机制。掌握如何有效地调试shellcode可以帮助安全分析...
shellcode文手册汇编.pdf
10-08
3. shellcode编写:shellcode是指能够被注入到目标系统执行特定命令的小段代码。这些代码经常用于缓冲区溢出攻击,用以获得未授权的控制。文档提到了shellcode的编写,强调了对汇编语言的理解对于编写和理解...
快速调试在恶意软件分析过程提取的Shellcode-C/C++开发
05-26
BlobRunner BlobRunner是一个简单的工具,用于快速调试在恶意软件分析过程提取的shellcode。 BlobRunner为目标文件分配内存,并跳转到已分配内存的基数(或偏移量)。 这允许进行分析BlobRunner BlobRunner是一个...
Shellcode 藏在图片
12-07
Shellcode嵌入文件的过程,需要对Shellcode的完整性进行检查。这是为了确保即使在文件传输或存储过程Shellcode的部分信息被篡改或丢失,依然能够保证执行时的准确性。 8. 绕过脚本执行要求 某些环境下可能会...
shellcode转换字符串
07-18
shellcode转换字符串
linux 生成shellcode,生成可打印的shellcode
weixin_42507411的博客
05-13 592
有时候程序会对我们的payload进行一些可打印检查,比如进行 utf-8 编码等,这时候一般的 shellcode 是无法绕过检查的,这时候就需要我们对 shellcode 进行编码。通过对网上资料的总结,找到了两种比较好的编码方法。x86编码x86编码的话用msf内置的encoder就行了。ex@Ex:~$ msfvenom -l encodersFramework Encoders [--e...
一篇文章彻底清楚shellcode(精品)
weixin_51055545的博客
03-08 9051
shellcode 类题目 文章目录shellcode 类题目1.没开沙箱(此时我们可以系统调用get shell)picoctf_2018_shellcodemrctf2020_shellcode2.开启沙箱(orw读flag)gwctf_2019_shellcode 1.没开沙箱(此时我们可以系统调用get shell) (一)32位程序系统调用 32位程序有别于64位程序,32位通过栈传参,我们常用的寄存器有4个数据寄存器(eax,ebx,ecx,edx),2个变址寄存器(esi,edi),2个指针寄
shellcode转换为汇编代码的方法
counsellor的专栏
07-05 6759
0x00 shellcode 这段是楼主最近在看历史的exp时发现的shellcode,功能是弹计算器,在09年时使用很广泛,但是没有找到相关的分析文献,准备有时间研究下。 0xdb 0xc0 0x31 0xc9 0xbf 0x7c 0x16 0x70 0xcc 0xd9 0x74 0x24 0xf4 0xb1 0x1e 0x58 0x31 0x78 0x18 0x83 0xe8 0xfc ...
3.6 shellcode编码技术
qq_55202378的博客
08-03 1098
编码技术
从0编写一个免杀加载器
yggcwhat
04-26 541
0x00 导读 通过反沙箱与混淆shellcode绕过火绒上线metasploit。 0x01 基础知识 沙箱是啥 百度对沙箱的介绍:沙箱(网络编程虚拟执行环境)_百度百科 (baidu.com) 我对沙箱的理解:它是一个虚拟的系统,我们写的程序可以在这个系统里运行,它存在的作用是来帮助我们判断是不是可疑程序,因为不管你是什么东西跑起来看它干了什么事就知道了嘛。 0x02 生成shellcode msfvenom -p windows/meterpreter/reverse_tcp lho..
scdbg:跨平台Shellcode分析工具详解
通过scdbg,分析师可以在一个隔离的环境观察这类Shellcode如何试图执行恶意操作,从而提高对复杂威胁的识别和防御能力。 scdbg是一个强大的恶意代码分析工具,它简化了分析过程,提高了效率,且在不同操作系统上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值