[Tool Re 2] Hướng dẫn debug động virus bằng IDA

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 10/09/21, 01:09 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 513
    Đã được thích: 239
    Điểm thành tích:
    43
    Chào các bạn, trong Tut 1 mình có đề cập đến các cửa sổ và các phím tắt cơ bản để có thể sử dụng được IDA, cũng như còn một số vấn đề như Hardware BreakPoint, dump memory, jump code cần đánh giá để so sánh được với Olly.

    1.png

    Hardware BreakPoint
    ,
    Sau khi tìm hiểu khẳng định là IDA cũng có thể đặt được Hardware BP như Olly, nhưng có điều thao tác hơi khác một chút: Đầu tiên các bạn vẫn đặt breakpoint(F2) ở địa chỉ mình mong muốn, tiếp theo vào cửa sổ BreakPoint => Chuột phải chọn địa chỉ bạn vừa đặt => Chọn edit => Tick vào Hardware => Chọn các mode (Read/Write/Excute) bạn mong muốn.

    2.png

    Dump memory
    Để dump một vùng mem, bạn ấn Shift + F2, sau đó copy paste đoạn script python như hình:

    3.png

    Jump code
    Rất nhiều mẫu virus có những trick để anti debug, anti máy ảo... vì thế đôi khi chúng ta cần bỏ qua một số lệnh và nhảy đến các đoạn code khác mình mong muốn. Rất may IDA cũng hỗ trợ Jump Code như Olly. Mình chưa tìm được thao tác tối ưu cho việc này, hiện tại mình thao tác như sau: Từ cửa sổ Pseudocode => Chuyển sang cửa sổ Assembly => Chuột phải vào địa chỉ muốn nhảy tới => Chọn Run to cursor. Ban nào có cách thao tác hay phím tắt nhanh hơn chỉ mình nhé :D

    Phạm vi bài viết này tới đây là kết thúc. Bài tiếp theo chúng ta tiếp tục mổ sẻ một số vấn đề nữa như phân tích dll, attach process...
     
    Chỉnh sửa cuối: 11/09/21, 04:09 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. whiteLMK

    whiteLMK Well-Known Member

    Tham gia: 19/02/21, 09:02 AM
    Bài viết: 56
    Đã được thích: 14
    Điểm thành tích:
    8
    Rất hay mong bác ra nhiều phần tiếp theo ạh
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan