惡意樣本分析-Lab16-01 反調試1分析

惡意樣本分析-Lab16-01 反調試1分析

這個樣本是隨書《惡意代碼分析實戰》第十六章的樣本,主要用來熟悉反調試的一些手段,這個算是樣本分析中需要掌握的基礎知識。這篇筆記會包含了靜態分析和靜態分析。基本要求

在這裏插入圖片描述

在分析這個樣本之前可以先看一下惡意樣本分析–16Windows中一些常用的反調試記錄

靜態分析

靜態分析就不做PE信息的分析,直接走IDA分析,這個過程儘量不走僞代碼分析,分析彙編指令,便於在x64dbg上分析時快速定位。

由於已經在第九章分析了,因此這裏關注到反調試手段。首先來到入口處看到關鍵指令

在這裏插入圖片描述

很明顯這個兩個檢測都是PEB結構的變量的檢測,如果都不爲0,則會調用函數sub_401000刪除樣本。

動態調試分析

使用x64dbg加載來到入口位置(這裏注意如果程序放行就會停止同時樣本被刪除),

  • 檢測BeingDebugged

第一個檢測返回狀態值不爲0,爲1

在這裏插入圖片描述

手動修改結果eax=0

在這裏插入圖片描述

修改完之後就手動過掉這個檢測。

在這裏插入圖片描述

  • 測ProcessHeap

    雙擊ZF就從0變爲1

在這裏插入圖片描述

這樣就過掉這個檢測。

  • 檢測NtProcessFlag

    這裏會檢測NtProcessFlag的值是否爲0x70

在這裏插入圖片描述

正常情況的是0,如果被調試可以看到這個狀態值是0x70

在這裏插入圖片描述
這裏同樣清掉這個值爲0即可。

在這裏插入圖片描述
這樣就過掉所有的檢測了

在這裏插入圖片描述
剩下的就是之前分析的不再繼續分析了。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章