IDA实战利用syclla修复IAT后使API高亮显示(逆向分析实战6)
2023-12-3 08:12:41 Author: 安全狗的自我修养(查看原文) 阅读量:7 收藏

本篇目录导航

样本信息

# PEinfo查看

# ida检查导入表

# 尝试简单查加密函数

# 通过其它函数引用找函数

# 动态调试加密函数

找到开始与结束地址dump

# 修复iat表

# ida分析脱壳后的加密函数

ida分析API高亮显示


 

# 样本信息

ruky勒索病毒

md5:484a2bcb1335ac97ee91194f4c0964bc

查看PE信息存在附加节数据

查看节.text高熵值,极大概率存在加密

查看导入表貌似没什么异常

由于我们已知为勒索样本,所以尝试搜索Crypt开头相关的加密函数,没有找到相关API。推测该API需要后续执行解密动态载入


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247490234&idx=1&sn=ced37b782b68943c913508e356549fae&chksm=c13f29f3f648a0e59bc4abd0268afae7441924bbb352e8fe69a86e4b75dc46571dc2aae034c3&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh