IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

admin 2023年12月4日01:34:55评论9 views字数 369阅读1分13秒阅读模式

本篇目录导航

样本信息

# PEinfo查看

# ida检查导入表

# 尝试简单查加密函数

# 通过其它函数引用找函数

# 动态调试加密函数

找到开始与结束地址dump

# 修复iat

ida分析脱壳后的加密函数

ida分析API高亮显示



IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

 

 

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)




# 样本信息

ruky勒索病毒

md5:484a2bcb1335ac97ee91194f4c0964bc


# 分析

查看PE信息存在附加节数据

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

查看节.text高熵值,极大概率存在加密

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

查看导入表貌似没什么异常

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

由于我们已知为勒索样本,所以尝试搜索Crypt开头相关的加密函数,没有找到相关API。推测该API需要后续执行解密动态载入

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

原文始发于微信公众号(安全狗的自我修养):IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月4日01:34:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)https://cn-sec.com/archives/2264006.html

发表评论

匿名网友 填写信息