2022-08-17门徒娱乐注册信息(门徒娱乐注册信息技术(深圳)有限公司)

因此,我们已经确定了使用哪种加密算法以及它加密了哪些数据。是时候连接有助于我们解码的插件了。我们将使用 FindCrypt2、Krypto ANALyzer 和 IDA Entropy Plugin 签名搜索工具来确定其他编码机制。

检测shellcode
Krypto ANALyzer 中带有样本解析结果的窗口

KANAL 插件使用字符串 ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ 中的字符找到了四个地址。你觉得它看起来像什么?是的,是的,我的朋友,你想得对——这组字符是一个字母表,然后从中进行排列。

但是网络流量呢?

Base64 算法用于对其进行编码。下面是来自 OllyDbg 调试器的屏幕截图,说明了编码字符串。

检测shellcode
OllyDbg 中的 Base64 编码字符串

这是来自同一调试器的所有内容的屏幕截图,其中包含负责编码过程本身的指令。

在代码的某处,有一个函数负责使用 Base64 算法解码信息,它位于 0x004010B1。

检测shellcode
负责使用Base64算法解码信息的函数

让我们看一下IDA Pro的图表中的这段代码,编码的关键特征以黄色突出显示,即:最大消息长度为12个字符。在算法的描述中,Base64 的最大长度为 16 个字节。

检测shellcode
在 IDA Pro 中查看代码

这就是今天的全部内容。如果你能把这篇文章读到最后,那就太好了,如果你现在可以重复所有的实验室工作而不会偷窥,那就太好了。

我们关于初学者倒车的文章周期到此结束。当然,我们只介绍了恶意软件分析的最基本和最关键的方面,还有很多话题值得讨论。你可以无限期地继续这个话题,甚至可能写一整本书。

我希望你喜欢它,现在你知道如何检测 shellcode。您已经为自己学到了一些新东西,现在您可以想象病毒分析师的工作是什么样的。