逆向技巧——从混淆说明IDA Python脚本的使用

之前工作的时候,遇到过病毒需要使用IDA python进行反混淆的问题,但是由于病毒的工作量较大、前置步骤多,没有很好的总结。

闲下来了,有空了,根据网上的Demo做个实验记录一下。

 

一、代码部分

混淆程序如下,VS编译即可:

源代码中asm需要添加斜杠表达连接,原文中未加入反斜杠,报错了。

#include <stdio.h>
#include <stdint.h>

#define JUNKCODE __asm{\
__asm jmp junk1        \
__asm __emit 0x12      \
__asm junk2:           \
__asm ret              \
__asm __emit 0x34      \
__asm junk1:           \
__asm call junk2       \
}

void encrypt(int* v, int* k) {
    int v0 = v[0], v1 = v[1], sum = 0, i;           /* set up */
    int delta = 0x9e3779b9;                     /* a key schedule constant */
    int k0 = k[0], k1 = k[1], k2 = k[2], k3 = k[3];   /* cache key */
    for (i = 0; i < 32; i++) {
        JUNKCODE
        sum += delta;
        v0 += ((v1 << 4) + k0) ^ (v1 + sum) ^ ((v1 >> 5) + k1);
        v1 += ((v0 << 4) + k2) ^ (v0 + sum) ^ ((v0 >> 5) + k3);
    }                                              /* end cycle */
    v[0] = v0; v[1] = v1;
}

int main() {
    int a = 1;
    int flag[] = { 1234,5678 };
    int key[] = { 9,9,9,9 };
    __asm {
        _emit 075h
        _emit 2h
        _emit 0E9h
        _emit 0EDh
    }
    encrypt(flag, key);
    printf("%d,%d", flag[0], flag[1]);
    return 0;
}

 

使用以下脚本进行修改,可以进行对照参考:

其中,原文未导入idc_bc695 库,源代码IDA7.0以下可以正常运行,IDA在7.5或者7.6下,需要导入库。

from idc_bc695 import *

def nop(addr, endaddr) :
    while addr < endaddr :
        PatchByte(addr, 0x90)      #修改程序字节
        addr += 1

def undefine(addr, endaddr) :
    while addr < endaddr :
        MakeUnkn(addr, 0)
        addr += 1

def dejunkcode(addr, endaddr) :
    while addr < endaddr :
        MakeCode(addr)
        # 匹配模板
        if GetMnem(addr) == 'jmp' and GetOperandValue(addr, 0) == addr + 5 and Byte(addr + 2) == 0x12:
            next = addr + 10
            nop(addr, next)
            addr = next
            continue
        addr += ItemSize(addr)

nop(0x004549BC, 0x004549BC+4)
dejunkcode(0x00454710, 0x00454844)

 

 函数解析:

MakeCode(ea) #分析代码区,相当于ida快捷键C
ItemSize(ea) #获取指令或数据长度
GetMnem(ea) #得到addr地址的操作码
GetOperandValue(ea,n) #返回指令的操作数的被解析过的值
PatchByte(ea, value) #修改程序字节
Byte(ea) #将地址解释为Byte
MakeUnkn(ea,0) #MakeCode的反过程,相当于ida快捷键U
MakeFunction(ea,end) #将有begin到end的指令转换成一个函数。如果end被指定为BADADDR(-1),IDA会尝试通过定位函数的返回指令,来自动确定该函数的结束地址

 

 

二、第一段混淆

第一段混淆是main函数里的,通过jnz $+2的方法进行,这段代码一定会跳到eip+4的地方,面对这样的整块地址,我们可以简单的nop掉,nop函数可以调用PatchByte函数进行修复。

图1-1:修改前

 

 图1-2:由于IDA使用的是从上而下的调用,所以一定分析的有问题。

 

 图1-3:修改后的汇编区

 图1-4:修改后,可以正常分析

 

三、第二段混淆

第二段是增加了无用的跳转,通过retn和call制作无用跳转。

这里采用混淆的方式让反汇编引擎失去作用。

图2-1:无法正常反汇编

 

图2-2:修改后汇编区

 

图2-3:正常翻译

sum是减号,不过数值和原文件相反,反汇编引擎问题。

 

四、混淆步骤

图3-1:选择上面的执行执行py文件,下面的执行命令。

 

图3-2:由于要使用导入库,我们以执行文件的方式执行。

 

Reference:

[1] https://www.anquanke.com/post/id/208682

[2] https://blog.csdn.net/qq_46106285/article/details/127166299

 

posted @ 2023-01-25 22:16  瑞皇  阅读(707)  评论(0编辑  收藏  举报