• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

BlobRunner:一款效力强健的恶意软件Shellcode调试与阐述器械

脚本编程 SEO站长博客 2个月前 (08-01) 33次浏览 已收录 0个评论

摘要

此日给专家先容的是一款名叫 BlobRunner 的平和剖析器材,宽广酌量职员可能正在恶意软件剖析历程中利用 BlobRunner 神速提取和调试恶意软件中的 shellcode。

BlobRunner 可能直接正在内存中定位主意文献,并跳转到内存所在(可配置偏移量或基所在)。如许一来,酌量职员就可能以最简便最神速的本事去对提取出的恶意代码实行调试剖析了。

为了利用 BlobRunner,你可能直接从该项主意 GitHub 主页下载和编译项目源码。

   代码构修

全部项目代码构修的历程特别简便,专家不必忧郁…

   依赖组件

下载并装置 Microsoft Visual C++ Build Tools 或 Visual Studio。

   构修步伐

1.翻开 Visual Studio 的夂箢行窗口;

2.切换到 BlobRunner 所正在的目次途径;

3.然后运转下列夂箢实现代码构修

   cl blobrunner.c 构修BlobRunner x64

实质上,构修64 位版本的本事跟上面的差不众,只可是必要利用对应的 64 位器材:

1.翻开 64 位版本的 Visual Studio 夂箢行窗口;

2.切换到 BlobRunner 所正在的目次途径;

3.然后运转下列夂箢实现代码构修

   cl /Feblobrunner64.exe /Foblobrunner64.out blobrunner.c 器材利用

恶意代码调试步伐:

1.正在你熟谙的调试器中运转 BlobRunner;

2.将必要调试的 Shellcode 文献以参数的花式通报进去;

3.正在代码跳转到 Shellcode 之前增添一个断点;

4.跳转到 Shellcode;

   BlobRunner.exe shellcode.bin

配置偏移量:

   BlobRunner.exe shellcode.bin –offset 0x0100

正在跳转之前不配置暂停运转,请确保已配置了断点:

   BlobRunner.exe shellcode.bin –nopause 调试x64 Shellcode

x64 编译器默认是不赞成这个功用的,所认为了调试x64Shellcode,咱们必要用加载器创修一个挂起的线程,如许咱们就可能正在线程收复运转之前配置断点了。

   长途调试 Shell Bolb(IDAPro)

全部历程基础上跟专家正在当地调试 Shellcode 差不众,可是正在长途调试时你必要将 Shellcode 文献拷贝到长途编制中。假若拷贝途径跟 win32_remote.exe 的运转途径雷同,那么你只必要将文献名以参数的花式通报进去就可能了。不然,你就得正在长途编制中指定 Shellcode 文献的途径了。

   Shellcode 样本

专家可能利用 Metasploit 的 msfvenom 来神速天生 Shellcode 样本,下面的代码会创修一个简便的 Windowsexec Payload:

   msfvenom -a x86 –platform windows -p windows/execcmd=calc.exe -o test2.bin


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:BlobRunner:一款效力强健的恶意软件Shellcode调试与阐述器械
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址