恶意代码分析小技巧-dump文件修复

于 2024-06-25 18:16:03 发布
阅读量240 收藏 3
点赞数 7
分类专栏: 恶意代码分析技巧 文章标签: 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46143580/article/details/139964732
版权

恶意代码分析小技巧-dump文件修复

跟着大佬得文章进行dump,修复对应区段,继续分析的时候出现了下图所示的问题,,有些地址上的数据是红色的,查了下是重定位错误

在这里插入图片描述
对重定位修复后,如下图所示:
在这里插入图片描述

dump修复流程

1.在Xdbg中,内存布局 中找到需要dump的地址,选中右键选择将内存转存到文件
在这里插入图片描述
2. dump后的文件使用CFF打开,选择Section Headers ,如下图所示,需要对Raw Address 和 Raw Size对应的数据进行修改,因为文件是从内存中dump出来的,在内存中属于展开状态
在这里插入图片描述
3. 使用Virtual Address替换所有的Raw Address,使用Virtual Size按照0x1000对齐后替换所有的Raw Size,替换完成后如下所示:
在这里插入图片描述
4.使用IDA打开修复Sections后的文件,如下图所示,但是查看发现存在红色数据,也就是错误数据,如下图,排查发现都是重定位表中的数据
在这里插入图片描述
5.修复重定位表,利用python脚本修复,脚本和修复过程中打印信息如下

#coding:utf-8
import pefile
import struct
def read_data_at_address(file_path,dump_base,data_size):
    reloc_rvas,image_base = get_rvas(file_path)
    with open(file_path, "r+b") as file:
        # 将文件指针移动到指定地址
        for reloc_rva in reloc_rvas:
            file.seek(int(reloc_rva, 16))
            # 读取指定大小的数据
            data = file.read(data_size)
            dqword = struct.unpack('<Q', data)[0]
            # 计算新数据
            new_data = dqword - dump_base + image_base
            file.seek(int(reloc_rva, 16))
            # 将计算得到的新数据写入
            file.write(struct.pack('<Q', new_data))
            print("rva = [{}]  :  old data = [{} ] ==> new data [{}]".format(reloc_rva,hex(dqword), hex(new_data)))

def get_rvas(filename):
    pe = pefile.PE(filename)
    image_base = pe.OPTIONAL_HEADER.ImageBase
    relocation_rvas = []
    for section in pe.DIRECTORY_ENTRY_BASERELOC:
        for sec in section.entries:
            rva = hex(sec.rva)
            relocation_rvas.append(rva)
    return relocation_rvas,image_base

def main():
    filename = "./rundll32_0000000002D70000.bin"
    read_data_at_address(filename,0x2D70000,0x8)

if __name__ == "__main__":
    main()

在这里插入图片描述
6.修复完成后的文件拖入IDA进行分析,查看重定位数据位置,如下图所示,修复完成,可正常分析

在这里插入图片描述

球童0206
关注
专栏目录
dump文件配置与查看】
weixin_42483745的博客
09-06 708
正常情况下,可执行程序异常退出后不会生成dmp文件,这给定位分析问题原因带来了极大的困难。通过修改注册表我们可以让程序生成dmp文件,配合windbg工具的使用,可以方便的帮助定位异常问题原因。
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3219
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
dump文件修改
07-05
可以读写IC卡,产生dump文件,Hex十六进制数据的1K文件,可自行转成可供WinHex等软件读取的4K文件
Dump文件修复
qq1010624的博客
06-11 1003
前言 分析木马时经常会碰见dump恶意代码文件无法直接查看。 一是因为文件数据在内存展开,而区段的属性未修改; 二是因为数据在内存展开后,重定位数据被修改。 因此写个工具进行修复。 说明一下dump内存起始地址为dump恶意代码内存块的起始地址。 一、代码示例 1.文件对齐 //文件对齐 DWORD CFixDumpDlg::GetOffset(DWORD argc) { DWORD a = 0; DWORD b = 0; a = argc % 0x200; if (a
Dump文件编辑中文版
01-09
Dump文件编辑中文版 分析DUMP文件数据 修改数据
vsd文件如何编辑修改_PDF编辑器哪个好?怎么快速修改PDF文件
weixin_39612110的博客
12-04 921
PDF编辑器哪个好?怎么编辑PDF文件的内容呢?最近很多朋友都在寻找好用的PDF编辑器,各式各样的工具到底哪一个比较好呢?为了解决大家的疑惑,今天小编就来跟大家说道说道用PDF编辑器编辑PDF文件的方法:首先我们来了解一下什么是PDF文件:PDF文件是一种通用文件格式, 优点在于阅读起来比较方便,同时具有较高的安全性,但由于安全性较高,致使PDF文件不易编辑。不过也不是没有编辑的办法,下面小编为大...
java字符集更改_Java过程修改dump文件成特定字符集
weixin_42292183的博客
02-24 245
前一段时间在http://www.itpub.net/showthread.php...15&pagenumber=1中讨论的DMP不同字符集之间自由转换工具,经过一位java朋友的帮忙,今天奉献上biti提议的java存储过程修改方法:DumpChange.java脚本:import java.io.*;public class DumpChange{public static Stri...
Parrot OS取证工具实战指南:数据恢复与分析技巧全解
[Parrot OS取证工具实战指南:数据恢复与分析技巧全解](https://mattcasmith.net/wp-content/uploads/2021/04/deletedfile_ftk.png) # 1. Parrot OS的基本概述与安装 ## 1.1 Parrot OS简介 Parrot Security OS,...
恶意软件分析专家:Kali Linux中的高级工具解析
![恶意软件分析专家:Kali Linux中的高级工具解析]...恶意软件分析分为静态分析和动态分析两大类,前者侧重于对恶意代码本身的逆向工程,不运行代码;后者则涉及在安全的隔离环境中运行恶
病毒分析教程第十话--动态解密payload
安全杂货铺
02-10 1672
样本:61c19e7ce627da9b5004371f867a47d3,下载地址:https://app.any.run/tasks/e163502e-3334-46d9-aeb7-e5c925b64af7。 bp VirtualProtect bp VirtualAlloc
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 5778
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
dump文件调试
01-30
根据文档配置好工程,服务端程序出现崩溃现象,可定位崩溃位置
FixVmpDump:使用python脚本修复ida中的vmp dump API
05-27
FixVmpDump 使用python脚本修复ida中的vmp dump API。 支持x86和x64。 我的博客中的详细信息: : 步骤1 (1)通过ida打开Need模块,然后运行“ Get_Export_Fun_Name_Addr.py”。 您可以在“ D:\ fix_vmp_dump”中获取“ xxx.txt”。 第2步 (1)在您的“%ida%/ python /”中放入“ Fix_Vmp_Dump_API.py”。 (2)在您的“%ida%/ python / init.py”文件中插入“ import Fix_Vmp_Dump_API ”,如下所示: try: import ida_idaapi import ida_kernwin import ida_diskio import Fix_Vmp_Dump_API except ImportEr
DUMP数据分析助手.zip
06-10
IC卡dump的数据分析,对于分析DUMP数据,方便开始工程师对于数据的分析及修改,软件可以进行数据分析,修改,刷写等。部分功能需要VIP功能。
dump文件导入表修复工具——Imports Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-21 1163
最近在学习VMP脱壳,用到了该工具,记录分享一下。 功能: 根据进程的导入表,在该进程的dump文件中分配一块空间,在文件中创建导入表。 下载: 非开源 很多地方可以下载到,这里分享一个csdn下载地址: https://download.csdn.net/download/shadow20080578/85012603 使用前提: 1、导入表被修复好的进程 2、导入表没有被修复好的dump文件 使用方法: 打开主界面 1、在主界面上面选中导入表被修复好的进程 2、主界
dump文件编辑_内存dump 获得基于Unity3d的游戏相关代码
weixin_39821718的博客
11-29 1040
本文为看雪论坛优秀文章看雪论坛作者ID:lhfzhh1、准备解压apk,在lib文件夹看到有libmono.so,libunity.so便是Unity3d的程序。又看到有libDexHelper.so,便是梆梆的加固,把 libmono.so拖到IDA是解析不出来的。然后去看assetsbinDataManaged下,便是Unity3d的.NET程序,把对应dll拖到ILSpy 也是不识别的。这种...
Android内存数据读取与修改/内存代码注入/内存dump
热门推荐
犀牛划水
07-18 2万+
在Android的逆向时,对内存数据的操作主要有三种:内存数据读取与修改,内存代码注入,内存dump。之前对这三种操作的概念比较模糊,因此找了些资料整理如下,加深自己的理解。 修改数据 修改内存数据 修改内存数据需要在十六进制窗口中进行编辑,可先将反汇编窗口与十六进制窗口同步。如下图所示,在反汇编窗口中点击鼠标右键弹出菜单,选中”Synchroni
redis-dump 恢复
最新发布
06-10
redis-dump是Redis的一个数据导入工具,可以将redis-cli命令导出的数据文件恢复到Redis数据库中。恢复数据的步骤如下: 1. 安装redis-dump redis-dump可以通过npm安装,使用以下命令进行安装: ``` npm install -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值