我有一个恶意软件样本,我知道该样本正在充当机器人并连接到僵尸网络。问题在于它没有使用我熟悉的已知协议(类似于IRC),并且在发出命令之前实际上并没有做任何事情。通过C&C服务器访问它?我正在考虑可能在接收命令的程序部分使用符号执行吗?由于混淆了代码,因此静态分析将很乏味。

#1 楼

我建议使用x32dbg之类的调试器并即时更改参数以触发您正在寻找的行为。恶意软件样本。

评论


我最终找到了接受命令字符串的子例程,并找到了失败过程(即无法识别的命令),并且使用angr符号执行引擎,能够探究所有未达到失败的路由。通过使用一些骇人听闻的代码,我能够从二进制文件中获取多个命令。我以前已经尝试过使用INetSim模拟网络,但是单步执行代码过于繁琐,无法对每个命令执行。

–杰里米
18年8月21日在18:52