IDA 2020年度冠军插件DDR详解
IDA中的静态逆向工程通常会成问题。某些值是在运行时计算的,这使得很难理解某个基本块在做什么。如果您尝试通过调试一个恶意软件来执行动态分析,则该恶意软件通常会检测到并开始以不同的方式运行。思科Talos推出了动态数据解析器(DDR),该插件是IDA的插件,可简化反向工程恶意软件。DDR正在使用检测技术在运行时从样本中解析动态值。DDR具有如图所示客户端/服务器体系结构。DDR IDA插件和DDR服务器是Python脚本。DynamoRio客户端是用C编写的DLL,它由DynamoRIO工具drrun.exe执行。该DLL使用检测技术在运行时分析和监视恶意软件样本。IDA插件运行在IDA中,是前端;DDR服务器运行在恶意代码机器上,是服务端。通常,所有分析过程都是通过插件控制的。后端DynamoRIO客户端分析完成后,将结果发送回插件。我们选择JSON作为此数据的格式,以使其更易于故障排除并易于由第三方Python脚本解析。
从理论上讲,可以在同一台PC上运行插件和服务器,但是就执行恶意软件示例而言,强烈建议在单独的计算机上执行此操作。在大多数情况下,可以从IDA中的DDR菜单开始分析以收集动态值。下图显示了通用的工作流程。但是,如果要在无Python的系统上执行恶意软件,则也可以手动执行分析并单独运行DynamoRio客户端。
一旦在IDA日志输出窗口中看到插件已成功接收到JSON文件,就可以选择“获取值...”或“获取内存...”菜单之一来解析动态值或操作数。
非常详细内容详见附件:链接:https://pan.baidu.com/s/1m6tIkvwqfVutofZ_7O5mFQ
提取码:86kw
复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V4的分享
公主月月 发表于 2021-4-2 16:34
可以出一篇,安装配置,使用帖子吗?很多人都不会呀
我近期会出一篇安装配置 shy_hack 发表于 2020-12-25 22:27
我想问一下这个是在一定程度上进行动态调试?还是全程动态?
大佬,看下我的悬赏很简单,帮我搞一搞 还可以先收了再说 看不懂还是感谢一下大神 用这个插件可以网络调试了? 确实不错的好东西。 好习惯都是先收藏 额,内部测试使用,很不错的。
看不懂,还是感谢!{:1_918:} 感谢分享,学习一下!