二进制逆向-壳与脱壳入门

科技 06-21 来源： OuT5539

二进制逆向-壳与脱壳入门

压缩壳-压缩程序体积
免杀壳-规避杀毒等
虚拟化壳-vmprotect ，使用代码虚拟化（虚拟机或源码虚拟化）

壳的加载流程

保存入口点

API

解压或解密

IAT-初始化

重定位

HOOK

脱壳：

手动脱壳
脱壳机

如何识别加壳

PEID查看
加壳的程序一般多一个奇怪的区段
IDA-字符串、无法解析、导入表结构等

寻找OEP - 完整分析法

kernei32.getprocAddress 获取函数地址的api

TEB：0x30 = PEB 判断系统版本

虚拟化或者一步一加密的就不好使了

寻找OEP - 堆栈平衡法

实验ollydump完成一次脱壳

od插件
c+a修复

ollydump脱壳调试进程

恶意代码技术实践↓

恶意代码基础知识

1.目的

特征码
分析报告
专杀工具

2.方法

简要分析：快速分析、日志分析->提取特征码、简要报告
详细分析：静态分析、动态分析（od、x64dbg、windbg等）->提取特征码、详细分析报告、专杀工具开发、获取c2（回连ip、回连域名等）

3.恶意代码类型
主流：

后门
僵尸网络
下载器
间谍软件
启动器
内核套件（隐藏其他恶意代码）
勒索软件
蠕虫
各类的集合

静态分析基础技术

1、在线反病毒引擎：VirusScan、VirusTotal（常用
2、获取HASH值
3、查找字符串
4、查壳
5、导入导出函数
6、获取资源信息
7、在线沙箱

发表评论

留言与评论（共有 0 条评论） “”

网友投稿普通会员

我还没有学会写个人说明

124636 篇文章

4073926 次浏览

最近文章

二进制逆向-壳与脱壳入门

二进制逆向-壳与脱壳入门

壳的加载流程

如何识别加壳

寻找OEP - 完整分析法

寻找OEP - 堆栈平衡法

实验ollydump完成一次脱壳

恶意代码技术实践↓

恶意代码基础知识

静态分析基础技术

相关文章

推荐文章

最热点击文章

热门标签