我的逆向工程之旅-第3部分：多态性和OllyDbg

Alibaba · 2022-1-17 15:05:58

第3部分使用的工具：

VMware Workstation 12
Windows 7 32-bit Virtual Machine
PEiD
OllyDbg
Dumpit
Volatility
IDA Pro Free

如上文所述第一部分在本系列中，Peid没有在二进制文件中检测到任何常见的封隔器的存在。但是，它的导入表中列出的函数与我在第二部分。包含用户接口API的核心窗口库“user32.dll”和负责内存管理、输入\输出和中断的“kernel32.dll”是列出的惟一DLL。如第1部分所述，函数“LoadLibaryA\LoadLibrary aryW”和“GetProcAddress”是从“kernel32.dll”导入的，这些函数可以一起用于确定程序执行期间DLL函数的地址。
我的逆向工程之旅-第3部分：多态性和OllyDbg - Alibaba_UltraDebug

我的逆向工程之旅-第3部分：多态性和OllyDbg - Alibaba_UltraDebug

OllyDbg是一个调试器，它允许您检查另一个进程的状态和细节。它由OlehYuschuk编写，并将各种不同的视图包含到正在运行的进程中。实用恶意软件分析包含关于OllyDbg的整个章节。在增加文本大小以使我的眼睛在分析过程中不会开始流血之后，我将“Binary.exe”加载到OllyDbg中，并注意到它的基址为400000。这对于检查其他地址的位置非常重要，特别是当二进制文件在将来加载到不同的基座时。我是从Olly最喜欢的特性之一内存地图视图中确定这个值的。从这个视图中，我可以看到二进制文件的PE头从虚拟地址400000开始。您将在下面的屏幕截图中看到许多其他内存部分，因为Windows加载程序将其他资源和功能映射到进程的地址空间。

我的逆向工程之旅-第3部分：多态性和OllyDbg - Alibaba_UltraDebug

请注意，此屏幕快照仅是Windows加载程序将其放入内存后映射到进程的内存部分的三分之一。然后，我开始单步遍历二进制文件，这意味着每次执行一条指令。这一切都发生在我的恶意软件沙箱中，因为我正在执行恶意二进制代码。执行每条指令后，我可以从提供的默认视图中观察CPU寄存器、堆栈和数据部分中的任何更改。任何更改的值都以红色显

还有更多的精彩内容，作者设置为付费后可见

qingjue · 2022-1-29 17:41:36

说点啥好呢

账号		自动登录	找回密码
密码			立即注册

[原创] 我的逆向工程之旅-第3部分：多态性和OllyDbg

相关帖子