QQ 1274510382
Wechat JNZ_aming
商业联盟 QQ群538250800
技术搞事 QQ群599020441
解决方案 QQ群152889761
加入我们 QQ群649347320
共享学习 QQ群674240731
纪年科技aming
网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。
叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司
民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/
安全项目:态势感知防御系统/内网巡查系统
云服项目:动态扩容云主机/域名/弹性存储-数据库-云盘/API-AIeverthing
产品咨询/服务售后(同)
纸上得来终觉浅,绝知此事要躬行 !!!
寻找志同道合伙伴创业中。。。抱团滴滴aming联系方式!!
#本文为广告系统自动投放广告
# 如有侵权 删改 请速速联系我们
本章实验的目的是对恶意代码进行脱壳处理,
以便进一步分析。
本次实验中,我们会对使用upx加壳和使用FSG加壳的恶意文件进行手动脱壳,
脱壳工作主要在ollydbg进行,
同时我们还会学习如何使用ollydbg的插件辅助脱壳。
本科/专科信息安全专业
计算机网络、操作系统
预备知识
1.Ollydbg
一个反汇编工具,又叫OllyDebug,
一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,
Ring 3 级的调试器
己代替SoftICE成为当今最为流行的调试解密工具了。
同时还支持插件扩展功能,是目前最强大的调试工具。
基本上,调试自己的程序因为有源码,
一般用vc,破解别人的程序用OllyDebug。
2.Peid
PEiD查壳工具这个软件可以探测大多数的PE文件封包器、
加密器和编译器。
当前可以探测六百多个不同的签名。
3.Peview
peview.exe工具是一款可以进行PE文件解析的强大PE文件解析工具。
实验环境
服务器:Windows 7
辅助工具:Peview,peid,ollydbg
本次实验我们将会分析lab18-1,lab18-2文件。
将lab18-01载入peview
无法查看导入表等信息
将实验文件载入peid
显示什么都没找到
我们选择核心扫描
结果扫出来是upx
而查看节的时候
可以看到有一个名为upx2的节
接下来我们载入od,来手动脱壳
来到尾部跳转的位置
409f43处的jmp跳转指令后跟着一系列的0x00字节,
跳转的目的地是一个比较远的位置
我们在这里下断点,然后执行过来。
单步之后来到了0040154f
此处就是程序的入口点
右键,如下操作
在弹出的窗口默认即可
红色框中就是将找到的oep重新下设置为入口点
点击dump
保存文件
再用peid载入
可以看到此时已经成功脱壳了
将转储的文件载入peivew
可以看到导入表等信息了,也证明了这一点
将Lab18-2载入peview
看不到导入表等信息
载入peid
可以看到加壳器是FSG1.0 –>dulek/xt
然后载入od手动脱壳
od默认的入口点是405000
我们这次使用od插件中的SectionHop选项查找oep,如下操作
结果如下
程序停在了401090
PE文件的第一段可执行指令通常位于0x00401000.
距离401090只有0x90字节,说明这应该就是oep了
但是od没有正确地将这里识别为指令
而是如上所示
我们需要强制od反汇编这些代码,如下操作即可
结果如下
我们在上面不远处还看到了网址
说明这确实不是脱壳存根
接着我们将其转储到硬盘
点击dump
将转储后的文件载入peview
此时可以查看导入表等信息了,说明我们脱壳成功了
配套学习资源
1.《恶意代码分析实战》