使用ida解密恶意软件.doc.docVIP

使用IDA解密恶意软件 本文由by Dennis Elser发表 当今的恶意软件几乎都被加了壳的，可执行文件被压缩或标准加密，标准加密是有次序的来使代码和数据混淆，在一些病毒里面脱壳和转存是非常有效的办法，在一些为数不多的病毒中他们实际上的工作方式是在外壳中装入恶意软件适当的改变内部结构例如PE头， 下面实例中陌生的二进制代码是装进IDA Pro后产生的，这个实例对应的可执行入口点看起来好像这样： 区段一的名称是“UPX1”,一个无效的输入地址表和空的的输入表，一系列的东西是由一个外壳文件来指示。另一方面，不能脱壳这个文件是应为文件的内部结构已经被变形，这个手段经常是由恶意软件的作者用来增大脱壳的难度和逆向工程的难度。 首先，现在我们第一步是要获得外壳壳可执行文件清晰的镜像，实现这个过程最好的和最快速的方法是运行可执行文件和抓取先前例子外壳段的内存镜像，一次抓取和脱壳，抓取内存镜像成功后彻底脱壳文件在储存。这过程经常被病毒作者修改用来防止我们我们到达程序入口点，查找OEP总是很无趣的，可以说是一个时间消耗过程；因为我们需要把代码从头到尾单步一遍。利用IDA Pro SDK的一个插件（名字为“EPF”（Entry Point Finder））可以自动化帮助我们来创建和完成这个查找OEP过程， 现在，我们小心的在一个独立的环境（虚拟计算机实例）IDAPro调试器中运行可执行文件， 上面