-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-05-03
- 在线时间18416小时
-
- 发帖770593
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511651
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770593
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511651
- 信誉值
- 8
|
前几天分析恶意代码的时候,样本中的api函数经过了加密处理,需要首先解出api的函数名,然后通过GetProcAddress获取 交叉引用看了一下解密函数,发现一共有一千多处调用 如果动态调试一个个的解出来,那耗费的时间就太久了,幸好以前看大佬处理过此类问题,思路是先用ida python脚本将所有调用处的参数找出来,然后使用od脚本将所有的字符串跑出来。思路有了,接下来就开始慢慢解决问题了。首先使用XrefsTo函数获取所有解密函数的交叉引用 接下来就是怎么找出参数的问题了,通过观察,该解密函数一共有两个参数,都是通过push 入栈 所以只需往调用地址向前查找两条push指令,获取后面的操作数就可以了,如下图 将代码弄进ida中跑一跑,发现成功找出了参数,接下来就是怎么利用OD脚本将所有字符串跑出来了 现在我们需要将od脚本写成类似push 参数 Push 参数 call 解密函数 的形势,就可以解出字符串了。查阅资料可知OD脚本中要执行上述指令,需要将指令写在EXEC/ENDE中间,对当前调试进程,执行EXEC/ENDE中间的指令。即将脚本写成如下形式: 通过OD动态调试可知,解密函数执行完之后,结果保存在寄存器eax中,所以在执行上述代码之后,获取eax寄存器的值,这样就可以获得解密的字符串了。所以通过len 指令获取eax寄存器值得长度,接着使用DMA 指令将eax的值保存到文件中 确定了od脚本的写法,我们就用ida python获取参数,并将od脚本指令打印保存到一个文件中。如下图 在OD中执行刚才保存的脚本文件,我们就可以得到所有解密的字符串了 最后通过ida python将字符串注释到相应位置 即可得到如下效果: 这样分析就很方便了。代码水平很差,python写的着实烂。。各位大佬见谅。。。
|
