- UID
- 70603
注册时间2010-8-25
阅读权限10
最后登录1970-1-1
周游历练
TA的每日心情 | 慵懒
2024-1-23 11:58 |
|---|
签到天数: 12 天 [LV.3]偶尔看看II
|
本帖最后由 lzx964753100 于 2011-8-18 11:28 编辑
OllySafe
一、What’s **ing this
病毒分析工具OllySafe其实就是MiniSafe的专业版,是一个专门为病毒分析员提供的OllyDbg插件,它可以对病毒操作文件、注册表、进程进行拦截分析,能够简化病毒分析难度,协助好病毒分析工作。
二、如何安装
解压安装包后把olly_hardware_breakpoint.dll、MiniSafe.exe、OllySafe.sys三个文件拷贝到OllyDbg的Plugin目录下即可完成安装,注意不要超过32个插件的上限了,最好在OllyDbg的安装目录下也拷贝一份。
三、使用说明
以壳和花指令都比较多的icesword为例。
用OllyDbg打开icesword,可以看到OllySafe自动运行了。
最小化OllySafe窗口。
按F9运行icesword。
      首先可以看到icesword加载的部分DLL文件,先不管,点击是加载之。
      然后可以拦截到icesword对注册表的操作,要写入\SystemRoot\System32\Drivers\IsDrv120.sys,先拦截下来看一下多,点击暂停。
再点击是先让其修改注册表。一般来说程序会停在Ntdll.dll模块中,要用ALT+F9返回到用户代码。
但由于Icesword是自己直接调用的Native Api,所以可以省去这一步了:)
就可以看到icesword操作注册表的相关代码。F9继续运行
进程IceSword_unpacked.ex试图加载驱动\Registry\Machine\System\CurrentControlSet\Services\IsDrv120
这次拦到的是驱动加载操作了。
点击暂停后返回用户代码,这次点否。
上下翻看,可以发现IceSword第一次加载驱动不成功后还会使用随机文件名加载驱动。
好了,如何使用暂时先说到这里。
四、注意事项
1、为了安全,OllySafe运行时禁止任何进程的创建。这主要是防止病毒通过Winexec创建不受OllySafe监控的恶意程序,所以你在调试时想运行的程序请在启动OllySafe之前运行
[size=6]飘云太小气了,900多KB的文件都不让上传 |
|
[复制链接]
IP卡
发表于 2011-8-18 11:24:54
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2011-8-18 19:31:42
发表于 2011-8-19 11:18:11
发表于 2011-8-24 14:17:19