Reverse Code Engineering

逆向工程代码 обратная код машиностроения

Reverse Code Engineering

逆向工程代码 обратная код машиностроения

Reverse Code Engineering

Share what I know............... learn what I don’t

آخرین نظرات

۲ مطلب با کلمه‌ی کلیدی «آنالیز بدافزار» ثبت شده است

تابع call ebp :
این تابع دارای چندین حلقه هستش که دایما دارن محتویات رو تغییر میدن و دستورات جدید رو رمزگشایی میکنن و در آدرسی که بعد از این تابع قرار دارد و قرار است به اون jump زده شود قرار می دهند. اگه دستورات آدرس 401018 رو قبل و بعد از این تابع ببینید خواهید دید که کلی دستور جدید تولید شده.


اینکه روش رمزگشایی رو بررسی کنیم توی این مرحله برای ما مهم نیس و ما نیازی به دونستش نداریم. پس این تابع رو با F8 رد میکنیم.

دستور بعد از این تابع یک دستور بی اثر هستش و بعد از اون هم یک پرش.

این همون پرشی هستش که به کدهای رمزگشایی شده انجام میشه.


یکی از کارهای دوست داشتنی در مهندسی معکوس آنالیز بدافزار هستش

کاری که شمارو با ابعاد مختلف مهندسی معکوس آشنا می کنه مثل انواع آنتی ها, حقه ها, نحوه ی استفاده از امکانات سیستم عامل, نحوه ی سواستفاده از این امکانات, Zero Day ها و خیلی چیزای دیگه...:)

نمیدونم شروع این سری آموزشی بجا باشه یا نه, ولی فک کنم روند آموزشیمون نیاز به یه چالش داشته باشه.البته در کنار این سری آموزشی سعی میکنم روند آموزشی قبل رو هم ادامه بدم.

ما قراره سری آموزشی Dr.FU که تحلیل یه نسخه ی قدیمی از بدافزار ZeroAccess که بهش Max++ هم میگن هستش رو اینجا قرار بدیم.

 

ما فرض می کنیم که شما با مسائل پایه مهندسی معکوس مثل X86 asm , Debugging , OS و زبان برنامه نویسی آشنایی مختصری دارید, اگه این اطلاعات رو ندارید میتونید آموزش های قبلی این وبلاگ رو بخونید.

موارد مورد نیاز در طول این آموزش:

1- یک راه انداز ماشین مجازی مثل Virtual Box یا Vmware

2- ویندوز XP سرویس پک 2 برای نصب در VMWare

3- IDA Pro , OllyDbg یا ImmDbg

4- یک هگزادیتور

5- WinDbg

6- Wireshark

7- ZeroAccess (نسخه ای که قراره آنالیز کنیم رو اینجا می تونید دانلود کنید)

 

نکته: ویندوز میزبان ما XP-SP2 هست و VM رو در این ویندوز نصب کردیم و یه ویندوز XP-SP2 مجازی هم راه اندازی کردیم.

نکته دوم: قبل شروع آنالیز حتما یه snapshot از VM خودتون بگیرد.

 

طریقه ی راه اندازی یک ماشین مجازی رو احتمالا باهاش آشنا هستید اگه اینطور نیست می تونید از دکتر Google بپرسید:)

 

 

وقتی فایل رو در IDA باز میکنیم: