[Tool Re 2] Hướng dẫn debug động virus bằng IDA

HustReMw

VIP Members
20/12/2016
251
544 bài viết
[Tool Re 2] Hướng dẫn debug động virus bằng IDA
Chào các bạn, trong Tut 1 mình có đề cập đến các cửa sổ và các phím tắt cơ bản để có thể sử dụng được IDA, cũng như còn một số vấn đề như Hardware BreakPoint, dump memory, jump code cần đánh giá để so sánh được với Olly.

1704785401633.png


1.png

Hardware BreakPoint

Sau khi tìm hiểu khẳng định là IDA cũng có thể đặt được Hardware BP như Olly, nhưng có điều thao tác hơi khác một chút: Đầu tiên các bạn vẫn đặt breakpoint(F2) ở địa chỉ mình mong muốn, tiếp theo vào cửa sổ BreakPoint => Chuột phải chọn địa chỉ bạn vừa đặt => Chọn edit => Tick vào Hardware => Chọn các mode (Read/Write/Excute) bạn mong muốn.

2.png

Dump memory

Để dump một vùng mem, bạn ấn Shift + F2, sau đó copy paste đoạn script python như hình:

3.png

Jump code

Rất nhiều mẫu virus có những trick để anti debug, anti máy ảo... vì thế đôi khi chúng ta cần bỏ qua một số lệnh và nhảy đến các đoạn code khác mình mong muốn. Rất may IDA cũng hỗ trợ Jump Code như Olly. Mình chưa tìm được thao tác tối ưu cho việc này, hiện tại mình thao tác như sau: Từ cửa sổ Pseudocode => Chuyển sang cửa sổ Assembly => Chuột phải vào địa chỉ muốn nhảy tới => Chọn Run to cursor. Ban nào có cách thao tác hay phím tắt nhanh hơn chỉ mình nhé :D

Phạm vi bài viết này tới đây là kết thúc. Bài tiếp theo chúng ta tiếp tục mổ sẻ một số vấn đề nữa như phân tích dll, attach process...
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Rất hay mong bác ra nhiều phần tiếp theo ạh
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
debug ida virus
Bên trên