IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

admin

139543
文章

114
评论

2023年12月4日01:34:55评论26 views字数 369阅读1分13秒阅读模式

本篇目录导航

# 样本信息

# PEinfo查看

# ida检查导入表

# 尝试简单查加密函数

# 通过其它函数引用找加密函数

# 动态调试加密函数

# 找到开始与结束地址dump

# 修复iat表

# ida分析脱壳后的加密函数

# ida分析API高亮显示

有问题联系作者

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

建议你关注下，毕竟全网技术栈最全公众号，总有涉及到你的领域。

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

# 样本信息

ruky勒索病毒

md5：484a2bcb1335ac97ee91194f4c0964bc

# 分析

查看PE信息存在附加节数据

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

查看节.text高熵值，极大概率存在加密

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

查看导入表貌似没什么异常

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

由于我们已知为勒索样本，所以尝试搜索Crypt开头相关的加密函数，没有找到相关API。推测该API需要后续执行解密动态载入

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

原文始发于微信公众号（安全狗的自我修养）：IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

KdotStealer窃密木马样本分析

SideCopy APT组织利用开源远控进行攻击-样本分析记录

从核晶入手浅谈一下syscall这块的攻防对抗

广东的vmp大致分析

【病毒分析】定向财务的钓鱼木马分析

通过代理实现代码执行——DLL劫持的另一种方式

伪随机数总结

Pyinstaller Repack 指南

通过数据指针进行控制流劫持

如何优雅的杀敌以做到英雄无敌?记一次血战上海滩修改器制作过程

本文由 admin 发表于 2023年12月4日01:34:55
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)https://cn-sec.com/archives/2264006.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)

# 分析

KdotStealer窃密木马样本分析

SideCopy APT组织利用开源远控进行攻击-样本分析记录

从核晶入手浅谈一下syscall这块的攻防对抗

广东的vmp大致分析

【病毒分析】定向财务的钓鱼木马分析

通过代理实现代码执行——DLL劫持的另一种方式

伪随机数总结

Pyinstaller Repack 指南

通过数据指针进行控制流劫持

如何优雅的杀敌以做到英雄无敌?记一次血战上海滩修改器制作过程

发表评论

在线咨询

微信