可疑驱动火绒报Rootkit/Agent.dy

显示全部楼层 · 发表于 2024-3-24 15:17:33

swizzer 发表于 2024-3-24 15:13
SSA展开然后污点分析

但是碰上具体案例大概率还得手操

https://blog.quarkslab.com/deobf ... tected-program.html
所有无用块都用nop替代应该可行，关键是找有用的部分

显示全部楼层 · 发表于 2024-3-24 15:18:15

DisaPDB 发表于 2024-3-24 15:17
https://blog.quarkslab.com/deobfuscation-recovering-an-ollvm-protected-program.html
所有无用块都 ...

污点分析就是为了找有用的部分啊（

显示全部楼层 · 发表于 2024-3-24 17:16:06

本帖最后由 DisaPDB 于 2024-3-24 17:26 编辑

swizzer 发表于 2024-3-24 15:18
污点分析就是为了找有用的部分啊（

OLLVM的混淆方式应该是固定的吧

有用块不难找但是工程量肯定很大……（污点分析只在看CTF的时候见到过……）

显示全部楼层 · 发表于 2024-3-24 17:37:09

本帖最后由 swizzer 于 2024-3-24 17:38 编辑

DisaPDB 发表于 2024-3-24 17:16
OLLVM的混淆方式应该是固定的吧
有用块不难找但是工程量肯定很大……（污点分析只在看CTF的时候见 ...

污点分析其实是软件分析技术的一个应用场景。

单说原版的OLLVM的话，其实已经有一些插件可以实现自动化去平坦化了（IDA的d810， Binary Ninja上好像也有对应插件）。但是编写一个新的/魔改已有的LLVM pass也不是很困难，说到CTF，可以欣赏一下Hackergame 2023的"逆向工程不需要F5"

工程量大也可以称作困难的（

显示全部楼层 · 发表于 2024-4-5 15:49:27

卡巴入库了

显示全部楼层 · 发表于 2024-4-5 15:54:04

卡巴UDS拉黑

显示全部楼层 · 发表于 2024-4-5 18:32:52

swizzer 发表于 2024-3-24 17:37
污点分析其实是软件分析技术的一个应用场景。

单说原版的OLLVM的话，其实已经有一些插件可以实现自动 ...

除非是脚本小子，不然大概率会魔改，碰到魔改和云shellcode分析人员直接苦痛面具

显示全部楼层 · 发表于 2024-4-7 11:07:09

提示: 该帖被管理员或版主屏蔽

Leon_liu 头像被屏蔽	发表于 2024-4-7 11:07:09 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
Leon_liu 头像被屏蔽
	回复举报

[可疑文件] 可疑驱动 火绒报Rootkit/Agent.dy

[可疑文件] 可疑驱动火绒报Rootkit/Agent.dy