【逆向学习笔记5】夏令营直播课0810病毒分析(第2天)

最新推荐文章于 2023-06-24 21:18:56 发布
最新推荐文章于 2023-06-24 21:18:56 发布
阅读量260 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45927195/article/details/107904580
版权

逆向实战之病毒分析

壳与脱壳

分类

在这里插入图片描述
分类:
压缩壳在CTF竞赛中,UPX可能会出现得更多。在这里插入图片描述
脱壳方法:使用脱壳机/手动脱壳

PE文件格式

参考书:《WindowsPE权威指南》
工具:Stud_PE,CFF_Explorer,010Eiditor
在这里插入图片描述
查壳工具
在这里插入图片描述

壳的加载过程

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

脱壳过程

寻找OEP

在这里插入图片描述
E8+… >> jmp(短距离,如1字节)
E9+… >> 远jmp(操作数有四字节)
找到该指令后下断点,运行后按F8跟过去。
在这里插入图片描述
操作:pushad指令处的栈顶设置硬件断点(eg.4字节)
在这里插入图片描述
操作:“内存布局”->“upx0”->设置一次性执行断点->运行
在这里插入图片描述
前提:OEP在code段。
二次内存断点法:
在这里插入图片描述

Dump内存

在这里插入图片描述
在这里插入图片描述
若在前面找到的OEP指令出调用x32dbg自带的Scylla插件,会发现OEP已经被自动写好了:
再点击"Dump",生成的exe文件就是已经脱了壳的。
在这里插入图片描述

IAT修复

上面Dump出来的程序一般无法直接运行,原因:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

反调试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

SMC动态加解密技术

申请内存空间 -> 写入shellcode的字节码 -> 执行shellcode
在这里插入图片描述

例题:天津垓

先拖进ida64
1.过Enumfunc
Patch 改成jmp
2.
在这里插入图片描述

Str全局,还有两处调用
VirtualProtect:改变函数内存的属性。0x40:设置为可修改。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

静态混淆手段

花指令的识别与去除

在这里插入图片描述

更高级

在这里插入图片描述

乱序

在这里插入图片描述
在这里插入图片描述

; ))
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
重拳出击——F-secure 病毒分析
weixin_34297704的博客
03-22 89
重拳出击 ——F-secure 病毒分析程slides: https://noppa.tkk.fi/noppa/kurssi/t-110.6220/luennot/ 转载于:https://blog.51cto.com/missuniverse110/522566...
学习笔记-spo0lsv病毒分析
a2a_66666的博客
03-19 454
1.样本概况 1.1 样本信息 病毒名称:spo0lsv.exe(熊猫烧香) 所属家族:Worm MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32:E334747C 文件大小:30001bytes 壳信息:FSG 2.0 病毒行为:复制自身...
一款惊艳的Android脱壳工具
ChatGPTer
11-13 5744
有加密就有解密,Android的App也是如此。市面上有很多加壳工具,比如梆梆、爱加密、乐固等,有收费的也有免费的,还有就是公司自己研发的给公司内部App使用的加密工具.
常见脱壳方法
Tony 的博客
01-31 1317
一、概论壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳两种UPX ASPCAK TELOCK PELITE NSPACK ...ARMADILLO ASPROTECT ACPROTECT EPE SVKP ...顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。当然加密壳的保护能力要强得多!二、常见脱壳方法
xp框架+DITOR去app弹框
EthanZhu的专栏
10-25 2493
去弹框
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
《反编译与逆向分析:IDA Freeware 7.6与Qt5程序解析》 在信息安全和软件调试领域,逆向工程是一项重要的技术。它允许我们理解原本封闭的二进制代码,揭示其内部工作机制。本文将深入探讨反编译工具IDA Freeware ...
安卓逆向学习笔记之Frida+ida trace分析非标准算法
最新发布
03-15
在安卓逆向工程中,开发者和安全研究人员常常需要分析应用程序的内部工作原理,尤其是在面对非标准算法时。本文将深入探讨如何结合Frida和IDA工具来追踪并理解这些复杂算法。Frida是一个动态代码插桩工具,而IDA则是...
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
03-09
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
03-10
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
安卓逆向学习笔记之Frida 辅助分析ollvm控制流程平坦化
03-09
安卓逆向学习笔记之Frida 辅助分析ollvm控制流程平坦化
Android.rar
11-05
Android apk逆向工程工具:apktool、AXMLPriter2、dedexer、dex2jar、enjarity、FDex2、jadx、JD-GUI等 现在csdn下载不能自己设置积分,没有积分的,该压缩包里的工具也可以自行搜索下载
PE ditor工具
02-17
PE ditor工具
PE修改工具包
07-18
修改U盘必备工具合,如果有这些工具我相信你在制作U盘启动的时候就可以高枕无忧。
PECompact加壳
11-12
PECompact加壳,软件加壳工具,免杀效果很好.
PEditor(可执行程序PE参数修改工具)
11-10
PEditor可以修改加密过和未加密的可执行程序的sections等,在PE的修改方面,不逊色于LordPE
APP逆向寻找登录接口md5签名逻辑
Ikaros的博客
06-24 970
关于一次app逆向寻找登录接口md5签名逻辑
病毒分析教程第一话--静态特征分析
安全杂货铺
06-21 4587
Lab 1 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 1-1 这个实验使用Lab01-01.exe和Lab01-01.dll文件,使用文章描述的工具和技术来获取关于这些文件的信息。 问题1 将文件上传至http://www.virustotal.com进行分析并查看报告。文件匹配到了已有的反病毒软件...
常用脱壳工具下载
极速版 超精简 超级修改版 自动化编程 轻松破解 轻松修改 去后门 去升级 智能化 自动化
10-07 2754
常用脱壳工具下载 http://tools.pediy.com/windows/unpacker.htm
安卓应用(APK)逆向工程
The wind of freedom blows
11-15 8810
参考:https://crifan.github.io/android_app_security_crack/website/ 上述网址讲解的非常详细,这里只粗略的整理用到的比较多的工具以及一些安卓逆向工程的知识点。 全文中提到的各种工具都可以csdn下载https://download.csdn.net/download/wozaipermanent/11958306在中下载得到,但是现在csd...
OnllyDbug学习笔记.docx
04-15
OnlyDbuy Learning Notes.docx is a comprehensive study guide covering topics such as assembly language, reverse engineering, and basic CPU and memory operations. The document explains how the CPU ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值