2. 程式人生 > >惡意程式碼分析實戰第15章

惡意程式碼分析實戰第15章

阿新 發佈:2019-01-25

對抗反彙編,在很大程度上就是運用花指令技術,使得IDA的強大F5功能失效,在只能靜態分析時讓程式碼顯得亂七八糟,沒有頭緒,將知識點總結如下

用IDA python對指令進行NOP替換

import idaapi
idaapi.CompileLine('static n_key() {RunPythonStatement("nopIt()");}')

AddHotkey("Alt-N","n-key")
def notIt():
	start = ScreenEA()
	end = NextHead(start)
	for ea in range(start,end):
		PatchByte(ea,0x90)
	Jump(end)
	Refresh()

在C中刻意使用函式指標,可以大大降低反彙編器自動推匯出的資訊量

call = jmp + push

retn = jmp + pop

在patch程式,恢復堆疊平衡的時候非常重要

相關推薦

惡意程式碼分析實戰15

對抗反彙編,在很大程度上就是運用花指令技術,使得IDA的強大F5功能失效,在只能靜態分析時讓程式碼顯得亂七八糟,沒有頭緒,將知識點總結如下用IDA python對指令進行NOP替換import idaapi idaapi.CompileLine('static n_key()

惡意程式碼分析實戰》--第一:靜態分析基礎技術

**請參考大神的連結:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 這裡我只是記錄我的學習過程** 2、用PEtools開啟,檢視日期 .exe .dll

惡意程式碼分析實戰》--:動態基礎分析

一、虛擬網路環境配置 配置環境:伺服器端kali2.0 客戶端win7 1、配置inetsim kali自帶inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置連結:http://www.cnblogs.com/hyq20135317/p/5515675.h

2018/11/03-棧、x86架構和暫存器-《惡意程式碼分析實戰

  棧用於函式的記憶體、區域性變數、流控制結構等被儲存在棧中。棧是一種用壓和彈操作來刻畫的資料結構,向棧中壓入一些東西,然後再把他們彈出來。它是一種先入後出(LIFO)的結構。   x86架構有對棧的內建支援。用於這種支援的暫存器包括ESP和EBP。其中,ESP是棧指標,包含了指向棧頂的記憶體地址。一些東西

2018/10/03-字串指令(重複指令、操作資料緩衝區指令)、rep與movx指令-《惡意程式碼分析實戰

  重複指令是一組操作資料緩衝區的指令。資料緩衝區通常是一個位元組陣列的形式,也可以是單字或者雙字。(Intel'稱這些指令為字串指令)   最常見的資料緩衝區操作指令是movsx、cmps、stosx和scasx,其中x可以是b、w後者d,分別表示位元組、字和雙字。這些指令對任何形式的資料都有效。   

2018/10/03-函式呼叫約定、cdecl、stdcall、fastcall- 《惡意程式碼分析實戰

  cdecl是最常用的約定之一,引數是從右到左按序被壓入棧,當函式完成時由呼叫者清理棧,並且將返回值儲存在EAX中。   stdcall約定是被呼叫函式負責清理棧,其他和cdecl非常類似。   fastcall呼叫約定跨編譯器時變化最多,但是它總體上在所有情況下的工作方式都是相似的。在fastcall

2018/11/06-異常-《惡意程式碼分析實戰

  異常機制允許一個程式在普通執行流之外處理事件。多數時間裡,異常是由錯誤引起的,諸如除零錯誤。當一個異常發生時,執行轉移到處理這個異常的特殊例程。有些異常,比如除零異常,是由硬體丟擲的;其他的,比如無效記憶體訪問,是由作業系統丟擲的。你也可以在程式碼中使用RaiseException呼叫,顯示地丟擲一個異常

2018/11/08-偵錯程式-《惡意程式碼分析實戰

  偵錯程式是用來檢測或測試其他程式執行的以來軟體或硬體。由於剛完成的程式包含錯誤,因此偵錯程式在軟體開發過程中可以大顯身手。偵錯程式讓你能夠洞察程式在執行過程中做了什麼。偵錯程式的目的是允許開發者監控程式的內部狀態和執行。   從偵錯程式獲得程式的資訊可能比較困難,但並不意味著不可能,可以從反彙編器中獲得

惡意程式碼分析實戰

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

惡意程式碼分析-第二十一-64位惡意程式碼

目錄 筆記 實驗 筆記 64位惡意程式碼的必要性:1.在64位作業系統中核心程式碼是64位的,以64位系統為目標的rootkit(Rootkit通過載入特殊的驅動,修改系統核心,進而

惡意程式碼分析實戰 Lab 5-1 習題筆記

Lab 5-1 問題 1.DllMain的地址是什麼? 解答: 這個我們用IDA Pro開啟來查詢,因為最新的IDA Pro不支援我們執行病毒那個虛擬機器的版本(xp pro 32),所以下面的分析都是在win7上的 開啟IDA Pro之後就會提

惡意程式碼分析實戰 Lab09-01(1)

分析報告: 1.     樣本概況 病毒名稱為Lab09-01.exe,使用Microsoft Visual C++ v6.0編譯。 1.1樣本資訊 病毒名稱:Lab09-01.exe MD5值: B94AF4A4D4AF6EAC81FC135ABDA1C40C SHA1值

惡意程式碼分析實戰-確認EXE什麼時候編譯的

場景 確認開源的後門在中毒機器上是什麼版本,具有什麼功能。 思路 1、檢視樣本PE裡的編譯時間 2、對照開源後門裡元件的編譯時間 技術點 檢視NT頭-TimeDateStamp struct IMAGE_NT_HEADERS NtHeader E8h F8h Fg: Bg:0xFFE

惡意程式碼分析實戰-啟動一個惡意的DLL

如果不能把惡意程式碼執行起來,那麼動態分析基礎技術沒有什麼用。 Windows版本中包含rundll32.exe程式,提供了一個執行DLL的平臺。 rundll32.exe Dllname,Export arguments Export值必須是一個DLL檔案匯出函式表中的函式名或者序號。 PEID可以

惡意程式碼分析實戰 Lab19

lab19-011IDApro開啟看到解碼程式碼如下od除錯的時候顯示說無法作為及時偵錯程式除錯,所以只能用windbg,雖然麻煩了點解碼後程序先跳到003a0464接著在464處,馬上呼叫003a03bf函式步入檢視程式又呼叫003a039e函式步入檢視函式,這段函式很短,

惡意程式碼分析實戰Lab1204

GetModuleBaseName:獲取檔案程序完整路徑EnumProcesses:檢索程序中的每一個程序識別符號。帶三個引數,DWORD 型別的陣列指標 lpidProcess;該陣列的大小尺寸 cb;以及一個指向 DWORD 的指標 pBytesRrturned,它接收返

惡意程式碼分析實戰Lab1602

感覺這個程式原來分析過一次,很相似 目的是得到一個長度為4的pw IDA中邏輯非常清晰,在CreateThread中對資料byte_408030進行修改 然後v5作為判斷標誌 在這兒下斷看資料就好~ (然後用OD下斷看不到,結合本章知識點猜想是有

惡意程式碼分析實戰 Lab 3-2 習題筆記

Lab 3-2 問題 1.你怎樣才能讓這個惡意程式碼自行安裝? 解答: 這個看書上解答是 利用rundll32.exe工具,使用命令rundll32.exe Lab03-02.exe, installA,來執行惡意程式碼匯出installA函式

惡意程式碼分析實戰 Lab21

lab21-011lab09-02還記得話是需要改程式名才能正確執行,所以,程式不會發生什麼額,我的IDApro識別出來main修改下面的jz位jmp其中r11是之前getmodulname得到的當前程式名,另一個由ocl.exe編碼得到,windbg檢視位jzm只有一個ec

惡意程式碼分析實戰 Lab 3-1 習題筆記

Lab 3-1 問題 1.找出這個惡意程式碼的匯入函式於字串列表。 解答: (動態分析建議用winxp pro 32bit,下面你就知道為什麼這麼建議了)我們用Dependency Walker會發現這個程式只有很少的匯入函式,第一是懷疑是不是加殼了