逆向技巧——从混淆说明IDA Python脚本的使用
之前工作的时候,遇到过病毒需要使用IDA python进行反混淆的问题,但是由于病毒的工作量较大、前置步骤多,没有很好的总结。
闲下来了,有空了,根据网上的Demo做个实验记录一下。
一、代码部分
混淆程序如下,VS编译即可:
源代码中asm需要添加斜杠表达连接,原文中未加入反斜杠,报错了。
#include <stdio.h>
#include <stdint.h>
#define JUNKCODE __asm{\
__asm jmp junk1 \
__asm __emit 0x12 \
__asm junk2: \
__asm ret \
__asm __emit 0x34 \
__asm junk1: \
__asm call junk2 \
}
void encrypt(int* v, int* k) {
int v0 = v[0], v1 = v[1], sum = 0, i; /* set up */
int delta = 0x9e3779b9; /* a key schedule constant */
int k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3]; /* cache key */
for (i = 0; i < 32; i++) {
JUNKCODE
sum += delta;
v0 += ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
v1 += ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
} /* end cycle */
v[0] = v0; v[1] = v1;
}
int main() {
int a = 1;
int flag[] = { 1234,5678 };
int key[] = { 9,9,9,9 };
__asm {
_emit 075h
_emit 2h
_emit 0E9h
_emit 0EDh
}
encrypt(flag, key);
printf("%d,%d", flag[0], flag[1]);
return 0;
}
使用以下脚本进行修改,可以进行对照参考:
其中,原文未导入idc_bc695 库,源代码IDA7.0以下可以正常运行,IDA在7.5或者7.6下,需要导入库。
from idc_bc695 import *
def nop(addr, endaddr) :
while addr < endaddr :
PatchByte(addr, 0x90) #修改程序字节
addr += 1
def undefine(addr, endaddr) :
while addr < endaddr :
MakeUnkn(addr, 0)
addr += 1
def dejunkcode(addr, endaddr) :
while addr < endaddr :
MakeCode(addr)
# 匹配模板
if GetMnem(addr) == 'jmp' and GetOperandValue(addr, 0) == addr + 5 and Byte(addr + 2) == 0x12:
next = addr + 10
nop(addr, next)
addr = next
continue
addr += ItemSize(addr)
nop(0x004549BC, 0x004549BC+4)
dejunkcode(0x00454710, 0x00454844)
函数解析:
MakeCode(ea) #分析代码区,相当于ida快捷键C
ItemSize(ea) #获取指令或数据长度
GetMnem(ea) #得到addr地址的操作码
GetOperandValue(ea,n) #返回指令的操作数的被解析过的值
PatchByte(ea, value) #修改程序字节
Byte(ea) #将地址解释为Byte
MakeUnkn(ea,0) #MakeCode的反过程,相当于ida快捷键U
MakeFunction(ea,end) #将有begin到end的指令转换成一个函数。如果end被指定为BADADDR(-1),IDA会尝试通过定位函数的返回指令,来自动确定该函数的结束地址
二、第一段混淆
第一段混淆是main函数里的,通过jnz $+2的方法进行,这段代码一定会跳到eip+4的地方,面对这样的整块地址,我们可以简单的nop掉,nop函数可以调用PatchByte函数进行修复。
图1-1:修改前
图1-2:由于IDA使用的是从上而下的调用,所以一定分析的有问题。
图1-3:修改后的汇编区
图1-4:修改后,可以正常分析
三、第二段混淆
第二段是增加了无用的跳转,通过retn和call制作无用跳转。
这里采用混淆的方式让反汇编引擎失去作用。
图2-1:无法正常反汇编
图2-2:修改后汇编区
图2-3:正常翻译
sum是减号,不过数值和原文件相反,反汇编引擎问题。
四、混淆步骤
图3-1:选择上面的执行执行py文件,下面的执行命令。
图3-2:由于要使用导入库,我们以执行文件的方式执行。
Reference:
[1] https://www.anquanke.com/post/id/208682
[2] https://blog.csdn.net/qq_46106285/article/details/127166299