编程黑洞网
首页
编程
数据库
代码审查
网络应用
Android
wordpress
软件推荐
软件工程
逆向工程
信息安全
软件质量测试
地理信息
密码学
网站管理员
元堆栈交换
网络工程
操作系统
Ubuntu
计算机
Unix和Linux
服务器故障
Vi和Vim
运维
物联网
机器人
树莓派
计算机图形学
信号处理
您如何探索未执行的恶意软件的行为?
逆向工程
|
2020-12-30
|
编程黑洞网
|
0条评论
|
264 人阅读
我有一个恶意软件样本,我知道该样本正在充当机器人并连接到僵尸网络。问题在于它没有使用我熟悉的已知协议(类似于IRC),并且在发出命令之前实际上并没有做任何事情。通过C&C服务器访问它?我正在考虑可能在接收命令的程序部分使用符号执行吗?由于混淆了代码,因此静态分析将很乏味。
#1 楼
我建议使用x32dbg之类的调试器并即时更改参数以触发您正在寻找的行为。恶意软件样本。
评论
我最终找到了接受命令字符串的子例程,并找到了失败过程(即无法识别的命令),并且使用angr符号执行引擎,能够探究所有未达到失败的路由。通过使用一些骇人听闻的代码,我能够从二进制文件中获取多个命令。我以前已经尝试过使用INetSim模拟网络,但是单步执行代码过于繁琐,无法对每个命令执行。
–杰里米
18年8月21日在18:52
如何在Linux中调试正在运行的Java进程?
学校项目-破解学校模拟器
标签列表
java
(11)
r
(3)
r-faq
(3)
javascript
(17)
jquery
(3)
asynchronous
(2)
php
(17)
mysql
(7)
sql
(3)
html
(2)
regex
(2)
arrays
(2)
variables
(3)
warnings
(2)
language-agnostic
(2)
c++
(9)
c++-faq
(8)
parsing
(2)
debugging
(5)
c
(3)
error-handling
(3)
python
(10)
pandas
(3)
android
(3)
list
(3)
最近发表
IP地址错误的错误掩码
在Cisco IOS中自动进行配置备份(每分钟)
VRRP和HSRP有什么区别?
IP地址如何映射到MAC地址?
网站可以识别我的MAC地址吗?
在STP中如何选择根桥?
为什么要使用三根以太网电缆将交换机连接到路由器?
为什么10.1.255.255是无效的广播地址?
为什么将IP地址分配给每个接口而不是设备?这将意味着什么?
为什么Visual Studio 2013不愿意运行我的Web性能/负载测试?
对测试代码了解太多会不利吗?
如何隔离错误?
如何使用Selenium和WebDriver清除localStorage
评估测试项目
我如何说服管理层我们需要一个正式的质量保证部门?
FluentWait与WebDriverWait有何不同?
简历和求职建议-从开发到测试的职业转变
您如何等待Selenium 2中的jQuery Ajax调用完成
在持续开发下测试应用程序
Selenium的页面加载默认超时是多少?
IT项目中软件测试的真正商业价值是什么?
系统测试与系统集成测试(SIT)有何不同?
如何找到我们的“质量保证流程”的弱点?
测试人员应如何处理生产中发现的错误?
如果我不使用TDD但想过渡到敏捷,那我应该回去创建那些单元测试吗?
代码覆盖率和测试覆盖率有什么区别?
当团队想要忽略关键但难以重现的错误时,我应该如何应对
测试人员应该修复错误吗?
审核测试自动化代码的良好实践
质量检查人员应该能够编写测试代码吗?
随机文章
在MySQL中加入联接删除
如何从IDA中找到OllyDBG中的偏移量
加拿大魁北克逆向工程PDF417餐厅账单
尝试识别此板上的JTAG / RS232端口
XKCD#936:简短的复杂密码,或长字典密码短语?
我如何在太阳能上运行Pi?
最小的JPG可压缩模式是什么? (相机拍摄的一块布,比例/角度/照明可能有所不同)
SRE和DevOps有什么区别?
如何配置Alexa访问REST API?
您可以设置Alexa来提醒您有关日历事件的信息吗?
评论
我最终找到了接受命令字符串的子例程,并找到了失败过程(即无法识别的命令),并且使用angr符号执行引擎,能够探究所有未达到失败的路由。通过使用一些骇人听闻的代码,我能够从二进制文件中获取多个命令。我以前已经尝试过使用INetSim模拟网络,但是单步执行代码过于繁琐,无法对每个命令执行。
–杰里米
18年8月21日在18:52