[Tool Re 2] Hướng dẫn debug động virus bằng IDA
Chào các bạn, trong Tut 1 mình có đề cập đến các cửa sổ và các phím tắt cơ bản để có thể sử dụng được IDA, cũng như còn một số vấn đề như Hardware BreakPoint, dump memory, jump code cần đánh giá để so sánh được với Olly.
Hardware BreakPoint
Sau khi tìm hiểu khẳng định là IDA cũng có thể đặt được Hardware BP như Olly, nhưng có điều thao tác hơi khác một chút: Đầu tiên các bạn vẫn đặt breakpoint(F2) ở địa chỉ mình mong muốn, tiếp theo vào cửa sổ BreakPoint => Chuột phải chọn địa chỉ bạn vừa đặt => Chọn edit => Tick vào Hardware => Chọn các mode (Read/Write/Excute) bạn mong muốn.
Dump memory
Để dump một vùng mem, bạn ấn Shift + F2, sau đó copy paste đoạn script python như hình:
Jump code
Rất nhiều mẫu virus có những trick để anti debug, anti máy ảo... vì thế đôi khi chúng ta cần bỏ qua một số lệnh và nhảy đến các đoạn code khác mình mong muốn. Rất may IDA cũng hỗ trợ Jump Code như Olly. Mình chưa tìm được thao tác tối ưu cho việc này, hiện tại mình thao tác như sau: Từ cửa sổ Pseudocode => Chuyển sang cửa sổ Assembly => Chuột phải vào địa chỉ muốn nhảy tới => Chọn Run to cursor. Ban nào có cách thao tác hay phím tắt nhanh hơn chỉ mình nhé
Phạm vi bài viết này tới đây là kết thúc. Bài tiếp theo chúng ta tiếp tục mổ sẻ một số vấn đề nữa như phân tích dll, attach process...
Hardware BreakPoint
Sau khi tìm hiểu khẳng định là IDA cũng có thể đặt được Hardware BP như Olly, nhưng có điều thao tác hơi khác một chút: Đầu tiên các bạn vẫn đặt breakpoint(F2) ở địa chỉ mình mong muốn, tiếp theo vào cửa sổ BreakPoint => Chuột phải chọn địa chỉ bạn vừa đặt => Chọn edit => Tick vào Hardware => Chọn các mode (Read/Write/Excute) bạn mong muốn.
Dump memory
Để dump một vùng mem, bạn ấn Shift + F2, sau đó copy paste đoạn script python như hình:
Jump code
Rất nhiều mẫu virus có những trick để anti debug, anti máy ảo... vì thế đôi khi chúng ta cần bỏ qua một số lệnh và nhảy đến các đoạn code khác mình mong muốn. Rất may IDA cũng hỗ trợ Jump Code như Olly. Mình chưa tìm được thao tác tối ưu cho việc này, hiện tại mình thao tác như sau: Từ cửa sổ Pseudocode => Chuyển sang cửa sổ Assembly => Chuột phải vào địa chỉ muốn nhảy tới => Chọn Run to cursor. Ban nào có cách thao tác hay phím tắt nhanh hơn chỉ mình nhé
Phạm vi bài viết này tới đây là kết thúc. Bài tiếp theo chúng ta tiếp tục mổ sẻ một số vấn đề nữa như phân tích dll, attach process...
Chỉnh sửa lần cuối bởi người điều hành: