吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11785|回复: 49
收起左侧

[IDA Plugin] IDA 2020年度冠军插件DDR详解

  [复制链接]
Vis-Wing 发表于 2020-12-24 11:39
IDA中的静态逆向工程通常会成问题。某些值是在运行时计算的,这使得很难理解某个基本块在做什么。如果您尝试通过调试一个恶意软件来执行动态分析,则该恶意软件通常会检测到并开始以不同的方式运行。思科Talos推出了动态数据解析器(DDR),该插件是IDA的插件,可简化反向工程恶意软件。DDR正在使用检测技术在运行时从样本中解析动态值。

DDR具有如图所示客户端/服务器体系结构。DDR IDA插件和DDR服务器是Python脚本。DynamoRio客户端是用C编写的DLL,它由DynamoRIO工具drrun.exe执行。该DLL使用检测技术在运行时分析和监视恶意软件样本。IDA插件运行在IDA中,是前端;DDR服务器运行在恶意代码机器上,是服务端。通常,所有分析过程都是通过插件控制的。后端DynamoRIO客户端分析完成后,将结果发送回插件。我们选择JSON作为此数据的格式,以使其更易于故障排除并易于由第三方Python脚本解析。

架构

架构


从理论上讲,可以在同一台PC上运行插件和服务器,但是就执行恶意软件示例而言,强烈建议在单独的计算机上执行此操作。在大多数情况下,可以从IDA中的DDR菜单开始分析以收集动态值。下图显示了通用的工作流程。但是,如果要在无Python的系统上执行恶意软件,则也可以手动执行分析并单独运行DynamoRio客户端。 图片2.png
图片3.png
一旦在IDA日志输出窗口中看到插件已成功接收到JSON文件,就可以选择“获取值...”或“获取内存...”菜单之一来解析动态值或操作数
非常详细内容详见附件:链接:https://pan.baidu.com/s/1m6tIkvwqfVutofZ_7O5mFQ
提取码:86kw
复制这段内容后打开百度网盘手机App,操作更方便哦--来自百度网盘超级会员V4的分享

免费评分

参与人数 15吾爱币 +17 热心值 +11 收起 理由
Zhang张小懒 + 1 用心讨论,共获提升!
舒默哦 + 1 谢谢@Thanks!
WellerChen + 1 我很赞同!
奋斗者4 + 1 + 1 热心回复!
zhczf + 1 + 1 我很赞同!
O678O + 1 用心讨论,共获提升!
明攀 + 1 + 1 我很赞同!
Siri丶 + 1 + 1 我很赞同!
daxiang789 + 1 谢谢@Thanks!
小哲哲你来了 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
CHINAWSF + 1 热心回复!
sherppard + 1 + 1 我很赞同!
gcode + 1 + 1 谢谢@Thanks!
issue + 1 + 1 热心回复!
Hmily + 5 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Vis-Wing 发表于 2021-4-2 16:51
公主月月 发表于 2021-4-2 16:34
可以出一篇,安装配置,使用帖子吗?很多人都不会呀

我近期会出一篇安装配置
文破解 发表于 2020-12-27 20:43
shy_hack 发表于 2020-12-25 22:27
我想问一下这个是在一定程度上进行动态调试?还是全程动态?

大佬,看下我的悬赏很简单,帮我搞一搞
messybin 发表于 2020-12-24 11:44
zhukun1980 发表于 2020-12-24 12:08
看不懂还是感谢一下大神
头像被屏蔽
dongse 发表于 2020-12-24 12:24
提示: 作者被禁止或删除 内容自动屏蔽
白陌陌 发表于 2020-12-24 12:55
用这个插件可以网络调试了?
yhage 发表于 2020-12-24 12:58
确实不错的好东西。
lsy832 发表于 2020-12-24 13:13
好习惯都是先收藏
lowellddh 发表于 2020-12-24 13:49
额,内部测试使用,很不错的。
syx594 发表于 2020-12-24 14:00

看不懂,还是感谢!
jncsw 发表于 2020-12-24 14:02
感谢分享,学习一下!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-17 06:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表