恶意代码分析实战18-1

本次我们将会分析lab18-1,lab18-2文件。
将lab18-01载入peview
在这里插入图片描述

无法查看导入表等信息
将实验文件载入peid
在这里插入图片描述

显示什么都没找到
我们选择核心扫描
在这里插入图片描述

结果扫出来是upx
在这里插入图片描述

而查看节的时候
在这里插入图片描述

可以看到有一个名为upx2的节

接下来我们载入od,来手动脱壳
来到尾部跳转的位置
在这里插入图片描述

409f43处的jmp跳转指令后跟着一系列的0x00字节,跳转的目的地是一个比较远的位置
我们在这里下断点,然后执行过来。
在这里插入图片描述

单步之后来到了0040154f
在这里插入图片描述

此处就是程序的入口点
右键,如下操作
在这里插入图片描述

在弹出的窗口默认即可
在这里插入图片描述

红色框中就是将找到的oep重新下设置为入口点
点击dump
保存文件
再用peid载入
在这里插入图片描述

可以看到此时已经成功脱壳了
将转储的文件载入peivew
在这里插入图片描述

可以看到导入表等信息了,也证明了这一点

将Lab18-2载入peview
在这里插入图片描述

看不到导入表等信息
载入peid
在这里插入图片描述

可以看到加壳器是FSG 1.0 –》dulek/xt
然后载入od手动脱壳
在这里插入图片描述

od默认的入口点是405000

我们这次使用od插件中的Section Hop选项查找oep,如下操作
在这里插入图片描述

结果如下
在这里插入图片描述

程序停在了401090
PE文件的第一段可执行指令通常位于0x00401000.距离401090只有0x90字节,说明这应该就是oep了
但是od没有正确地将这里识别为指令
在这里插入图片描述

而是如上所示
我们需要强制od反汇编这些代码,如下操作即可
在这里插入图片描述

结果如下
在这里插入图片描述

我们在下面不远处还看到了网址
在这里插入图片描述

说明这确实不是脱壳存根
接着我们将其转储到硬盘
在这里插入图片描述

点击dump
在这里插入图片描述

将转储后的文件载入peview
在这里插入图片描述

此时可以查看导入表等信息了,说明我们脱壳成功了

参考:
1.《恶意代码分析实战》

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值