二进制逆向-壳与脱壳入门
压缩壳-压缩程序体积
免杀壳-规避杀毒等
虚拟化壳-vmprotect ,使用代码虚拟化(虚拟机或源码虚拟化)
壳的加载流程
保存入口点
API
解压或解密
IAT-初始化
重定位
HOOK
脱壳:
- 手动脱壳
- 脱壳机
如何识别加壳
PEID查看
加壳的程序一般多一个奇怪的区段
IDA-字符串、无法解析、导入表结构等
寻找OEP - 完整分析法
kernei32.getprocAddress 获取函数地址的api
TEB:0x30 = PEB 判断系统版本
虚拟化或者一步一加密的就不好使了
寻找OEP - 堆栈平衡法
实验ollydump完成一次脱壳
od插件
c+a修复
ollydump脱壳调试进程
恶意代码技术实践↓
恶意代码基础知识
1.目的
- 特征码
- 分析报告
- 专杀工具
2.方法
- 简要分析:快速分析、日志分析->提取特征码、简要报告
- 详细分析:静态分析、动态分析(od、x64dbg、windbg等)->提取特征码、详细分析报告、专杀工具开发、获取c2(回连ip、回连域名等)
3.恶意代码类型
主流:
- 后门
- 僵尸网络
- 下载器
- 间谍软件
- 启动器
- 内核套件(隐藏其他恶意代码)
- 勒索软件
- 蠕虫
- 各类的集合
静态分析基础技术
1、在线反病毒引擎:VirusScan、VirusTotal(常用
2、获取HASH值
3、查找字符串
4、查壳
5、导入导出函数
6、获取资源信息
7、在线沙箱