标签：脱壳 exe rada 恶意代码 实践 指令 2021 2022 跳转

1.实践内容

2.实践过程

动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

1.使用Windows xp attack虚拟机，使用指令file RaDa.exe查看文件类型，可以得知这是一个带图形化窗口的32位PE文件

2.使用PEiD工具(从网页上下载的v0.95版本)来查壳的类型，可以看到PEiD显示的是一个版本为0.89.6的UPX壳

3.接着用指令strings RaDa.exe，可以发现显示的是乱码，所以我们需要进行一个脱壳的操作

4.接下来完成脱壳操作，使用Windowsxp自带的超级巡警之虚拟机自动脱壳器v1.3软件进行脱壳。
这里也识别出了是一个版本为0.89.6的UPX壳，脱完之后输出为RaDa_unpacked.exe

5.打开IDA Pro Free选择脱壳之后的文件RaDa_unpacked.exe，可以得到作者的信息DataRescue sa/nv和邮箱。

动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。
1.首先分析crackme1.exe，在cmd下执行crackme1.exe，发现有不同的响应

2.使用IDA Pro打开crackme1.exe，在string窗口中可以看到有两张反馈是上面我们得到的

3.接下来在view中打开Function Call，可以看到sub_401280函数下的输出，所以重点关注该函数


4.还是在view中打开flow chart，可以找到sub_401280函数，放大后看汇编代码



5.可以看到cmp指令是比较，jmp指令是跳转，如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

6.接着是strcmp指令与字符串"I KNOW THE SECRET"相比较，jz跳转。
如果是FALSE就返回"Pardon? What did you say?"如果正确则返回"You know how to speak to programs, Mr.。。。"

7.所以直接输入字符串"I KNOW THE SECRET"即可

8.然后分析crackme2.exe，直接尝试上一个输入，发现不得行

9.同样使用IDA Pro打开crackme2.exe，在string窗口中可以看到有反馈是上面我们得到的

10.接下来还是在view中打开Function Call，可以看到sub_401280函数下的输出，所以还是重点关注该函数


11.还是在view中打开flow chart，可以找到sub_401280函数，放大后看汇编代码


12.可以看到cmp指令是比较，jz指令是跳转，如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

13.接着是strcmp指令与程序名相比较，jz指令跳转。

如果是FALSE就返回"I HAVE AN IDENTITY PROBLEM"如果正确则返回"You know how to speak to programs, Mr.。。。"

标签：脱壳,exe,rada,恶意代码,实践,指令,2021,2022,跳转
来源： https://www.cnblogs.com/bdk-zxc/p/16216894.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。