之前總結了一些常見的反調試技術,反調試技術是程序作者用來保護程序不被調試,以此來保護自己的祕密,但是逆行分析人員也有自己的破解反調試的方法,就是“反反調試”。
記錄學習過程,以待後來溫習。
反調試技術的總結:https://blog.csdn.net/weixin_43742894/article/details/105278690
主要是通過學習《惡意代碼分析實戰》這本書的課後題,來進行繞過反調試的學習。
資源:第十六章 實驗三
鏈接:https://pan.baidu.com/s/11eObiXjcv2_QdC3BjlHXDw
提取碼:pis9
0x00 實驗要求
本次做的實驗是實驗三,實驗目標如下:
0x01 實驗工具:
IDA Pro
OllyDbg
DNSEye
0x02 實驗過程
第一問:靜態分析使用了那些字符串
第二問:此二進制文件運行時發生了什麼
首先在程序main函數裏有一串字符串,然後獲得文件名進行了程序名的比較。
我們在OD裏定位到00401518的位置,發現比較的字符串是qgr.exe。那我們就將文件名先修改爲qgr。
第三問:我們如何重命名,纔可以運行
修改爲agr後,監控dns,依舊無反應。
最後修改爲qeo.exe,運行後,使用dns監控到一個域名。
第四問:這個惡意代碼使用那些反調試技術。
有時間比較。也就是時鐘反調試。我們在OD裏找到這個時鐘的地方,使用nop爆破掉。
計算時間差值。
1.GetTickCount()。
2.QueryPerformanceCounter()。
第五問,反調試做了什麼
計算時間差值,反調試。如果時間過長,判斷文件當前正在被調試,就刪除文件。
0x03 總結:
使用了時鐘反調試技術rdtsc。