TZ安全分析之旅

使用 x64dbg 动态分析恶意软件：详细步骤与案例

动态分析是理解恶意软件行为的重要方法，通过运行恶意软件观察其实际操作（如文件读写、注册表操作、网络通信等）。以下是使用 x64dbg 动态分析恶意软件的步骤及案例说明。

环境准备

为了安全地分析恶意软件，你需要创建一个隔离的环境：

1. 虚拟机：
   • 使用 VirtualBox 或 VMware 创建一个分析虚拟机，安装 Windows 系统。
   • 禁止网络访问（或者配置代理以监控通信流量）。
   • 快照（Snapshot）：随时恢复到干净的系统状态。
2. 工具准备：
   • x64dbg：主要的调试工具。
   • 辅助工具：
     • Process Monitor (ProcMon)：监控文件、注册表和网络活动。
     • Wireshark：捕获网络流量。
     • Scylla：用于转储运行时内存中的解密文件。
     • PE工具（CFF Explorer 或 Detect It Easy）：检查恶意软件的 PE 文件头和结构。
3. 恶意软件文件：
   • 将恶意样本放到虚拟机中，保证分析隔离性。

动态分析步骤

以下是分析恶意软件的主要步骤：

1. 初步检查与配置 x64dbg

1. 加载恶意样本：
   • 打开 x64dbg，将恶意文件（exe 文件）加载到调试器中。
   • 确保启用了调试选项。
2. 设置分析选项：
   • 检查程序入口点（Entry Point）。
   • 使用 x64dbg 的模块窗口查看加载的模块，记录关键动态库（如 kernel32.dll、user32.dll 等）。
3. 检查导入表：
   • 查看恶意软件的导入表（Imports），识别可能调用的 Windows API，例如：
     • 文件操作：CreateFile、WriteFile。
     • 网络操作：connect、send、recv。
     • 进程操作：CreateProcess、OpenProcess。
   • 根据导入表的 API 函数，推测恶意软件可能的行为。

2. 设置断点

通过设置断点捕获恶意软件的关键操作：

1. API 断点：
   • 在常见的 Windows API 上设置断点，如：
     • 文件操作：CreateFileA、ReadFile、WriteFile。
     • 注册表操作：RegOpenKey、RegSetValue。
     • 网络通信：connect、send、recv。
   • 当恶意软件调用这些 API 时，调试器会暂停程序运行，你可以查看调用参数和上下文信息。
2. 动态加载模块断点：
   • 设置断点在 LoadLibrary 和 GetProcAddress：
     • 监控恶意软件动态加载的 DLL。
     • 恶意软件可能使用这些函数动态解析 API 地址，以逃避静态分析。
3. 入口点断点：
   • 在程序的入口点（Entry Point）设置断点，分析恶意软件的初始化过程。

3. 单步跟踪与观察行为

1. 逐步调试：
   • 通过 F7（Step Into）或 F8（Step Over）单步执行代码，跟踪恶意软件的执行流程。
   • 重点观察对系统函数（如文件、注册表、内存）的调用。
2. 调用栈分析：
   • 打开调用栈窗口（Call Stack），查看函数调用链，追踪恶意代码如何到达目标函数。
3. 记录行为：
   • 查看哪些文件、注册表键或内存区域被访问或修改。
   • 注意是否有异常行为，如进程注入、代码解密。

4. 解密或解压文件

很多恶意软件会对自身进行加密或使用壳保护，运行时会解密真实的代码。

1. 观察壳行为：
   • 如果恶意软件是加壳的，程序会调用解密函数或动态解压代码。
   • 观察 VirtualAlloc 或 WriteProcessMemory 是否被调用，用于加载解密后的代码到内存中。
2. 内存转储：
   • 在解密完成后，使用 x64dbg 的内存转储工具转储内存中的解密代码。
   • 转储后可以用工具（如 Scylla 或 CFF Explorer）将其保存为新的 PE 文件。

5. 动态分析特定行为

通过断点和观察，确定恶意软件的主要功能。

文件操作

• 在文件相关 API 上设置断点（如 CreateFileA、ReadFile、WriteFile）。
• 查看恶意软件访问的文件路径和数据内容。

注册表操作

• 设置断点在 RegOpenKey、RegSetValue 等注册表函数。
• 分析恶意软件是否创建了启动项、修改了系统配置等。

网络通信

• 在 connect 或 send 上设置断点，捕获恶意软件与远程服务器的通信。
• 使用 Wireshark 同时捕获流量，记录恶意软件与 C&C（命令与控制）服务器的交互。

案例：分析一个简单的恶意软件

假设我们有一个恶意软件样本，主要功能是：

• 读取特定文件内容。
• 与远程服务器通信。

1. 初步检查

• 查看导入表：
  • CreateFileA、ReadFile → 文件操作。
  • connect、send → 网络通信。
• 初步推测恶意软件会读取文件并发送数据到服务器。

2. 设置断点

• 在 CreateFileA 和 ReadFile 设置断点：
  • 捕获文件操作，分析访问的文件路径。
• 在 connect 和 send 设置断点：
  • 捕获网络通信，记录发送的数据和目标 IP。

3. 调试观察

• 运行程序，断点触发：
  • CreateFileA 参数显示恶意软件访问了 C:\Users\Public\passwords.txt。
  • send 参数显示恶意软件将文件内容发送到 192.168.1.100:8080。

4. 行为总结

• 恶意软件试图窃取文件 passwords.txt 中的内容并上传到远程服务器。

动态分析注意事项

1. 避免恶意软件逃逸：
   • 禁止虚拟机访问真实网络，或通过代理监控流量。
   • 使用快照还原系统。
2. 分析工具组合使用：
   • 配合 Wireshark、ProcMon 等工具获取更全面的信息。
3. 隐藏调试环境：
   • 恶意软件可能检测调试环境，使用工具（如 ScyllaHide）绕过反调试。

总结

x64dbg 是分析恶意软件行为的强大工具，通过断点和动态调试，你可以深入了解恶意软件的文件操作、注册表修改、网络通信和代码解密行为。配合其他工具，可以更加全面地分析和记录恶意软件的行为模式。

在逆向工程和调试过程中，IDA Pro（Interactive Disassembler）和x64dbg都有自己的应用场景。

如果 IDA 无法满足需求，则可能需要使用 x64dbg。以下是一些常见情况下 IDA 可能无法完全满足要求，从而需要切换到 x64dbg 的示例和原因。

1. 动态分析需求

IDA 不适合动态调试时：

• 场景：动态解密或反混淆
  • IDA 主要是静态分析工具，当目标程序包含动态加密算法（如字符串加密）或复杂的控制流混淆（如 VMProtect），IDA 静态分析可能看不到真实代码。
  • **示例：**某个程序的函数入口被混淆，IDA 显示大量无意义的跳转，但在运行时（动态解混淆后）会展开为真实代码逻辑。此时需要用 x64dbg 跟踪运行时的内存状态，定位解密后的代码。
  • **解决方案：**用 x64dbg 动态运行程序，设置断点，观察解密后的代码。

2. 动态生成代码或 JIT

IDA 无法识别动态生成的代码：

• 场景：运行时生成的代码块（JIT 编译器）
  • 如果程序在运行时通过 JIT（Just-In-Time）技术生成新的代码段，这些代码在静态分析中是不可见的。
  • **示例：**JavaScript 引擎或一些虚拟机（如 Unity3D 游戏）在运行时生成本地代码块，IDA 无法静态提取这些动态生成的代码。
  • **解决方案：**使用 x64dbg 跟踪运行时内存地址，查看生成的机器指令。

3. 反调试与保护机制

IDA 被反调试机制阻碍时：

• 场景：程序包含反调试机制
  • 很多恶意软件或加壳程序会检测调试器或检查代码的执行路径，如果发现被调试器附加，则会退出或运行假代码。IDA 的静态分析不运行程序，因此无法绕过这些动态保护。
  • **示例：**程序在运行过程中调用 IsDebuggerPresent 或检查 PEB，检测是否被调试器附加。
  • **解决方案：**使用 x64dbg，并结合插件（如 ScyllaHide）绕过反调试机制。

4. 动态数据追踪

IDA 无法观察运行时的数据变化：

• 场景：需要观察寄存器或内存的实时变化
  • 在某些场景下，需要追踪运行时的数据流，例如某些算法的输入和输出如何传递到寄存器或堆栈上。IDA 静态分析无法直接观察这些数据。
  • **示例：**分析一个加密函数，IDA 显示加密逻辑的汇编代码，但无法直接获得动态加密密钥和中间计算结果。
  • **解决方案：**使用 x64dbg 动态设置内存断点或观察寄存器变化，获取关键数据。

5. 多线程或异步代码

IDA 难以处理复杂的多线程逻辑：

• 场景：多线程执行路径
  • 程序中多个线程可能会对相同的内存区域操作或通过线程间通信完成逻辑，IDA 很难静态地分析线程调度及其交互行为。
  • **示例：**游戏引擎程序使用多线程处理逻辑（如物理计算线程、渲染线程等），需要动态追踪线程间的交互。
  • **解决方案：**用 x64dbg 动态附加到程序，调试特定线程的执行路径。

6. 高级代码优化

IDA 受限于编译器优化：

• 场景：编译器进行高级优化
  • 高级编译器优化（如内联函数、寄存器分配、循环展开等）可能导致代码结构复杂化，静态分析器（如 IDA）会生成难以理解的伪代码。
  • **示例：**程序内的一个循环在优化后，所有变量都分配到了寄存器，IDA 的伪代码生成混乱；静态分析无法明确变量位置。
  • **解决方案：**使用 x64dbg 动态运行代码，观察寄存器和堆栈变化，逐步还原逻辑。

7. 缺少调试符号或高级反编译支持

IDA 对无符号程序无优势：

• 场景：无调试符号的程序
  • 如果目标程序没有调试符号，IDA 的反汇编结果会非常基础，不容易理解函数调用或逻辑。
  • **示例：**分析一个 stripped 的 ELF 或 PE 文件，IDA 只显示基本的反汇编信息，函数名全是自动命名的。
  • **解决方案：**使用 x64dbg 在运行时分析，动态获取函数参数和调用栈，补充理解。

总结：IDA 和 x64dbg 的优劣对比

总之，当需要运行程序并观察实时行为时（如解密、动态生成代码、反调试等），就需要从 IDA 切换到 x64dbg。

在使用IDA Pro对恶意软件进行逆向分析时，可以根据以下特征和方法来查找恶意和异常行为的迹象：

1. 入口点分析

• 检查程序的入口点（Entry Point）：在main()或入口函数中查找是否存在明显的恶意行为，例如解密恶意代码或加载动态链接库。
• 分析代码混淆：许多恶意软件会在入口点使用加密、压缩或虚拟化技术来隐藏其行为。

2. 静态字符串分析

• 可疑字符串：
  • 包含网络地址、IP、域名（C2服务器地址）。
  • 明文账户、密码或Base64编码的内容。
  • 系统命令或敏感文件路径（如cmd.exe、powershell.exe、/etc/passwd）。
• 动态字符串解密：部分恶意软件会在运行时解密字符串，需找到字符串解密函数。

3. 导入表和API调用

• 关注可疑API调用：
  • 网络相关API：如WinSock中的connect、send、recv。
  • 进程操作API：如CreateProcess、OpenProcess、VirtualAlloc、WriteProcessMemory。
  • 文件操作API：如CreateFile、DeleteFile、ReadFile、WriteFile。
  • 注册表操作API：如RegOpenKey、RegSetValue。
  • 加载库函数：如LoadLibrary、GetProcAddress。
• 导入表异常：
  • 使用手动加载（如通过LoadLibrary调用函数）。
  • API跳跃或动态解析的行为，可能是尝试绕过静态分析。

4. 控制流图（CFG）

• 混淆的控制流：恶意软件常通过跳转或无意义的循环混淆代码逻辑。
• 不常见的调用结构：如在栈中动态修改返回地址（ROP链）。

5. 恶意行为模式

• 反调试特性：
  • 使用API如IsDebuggerPresent、CheckRemoteDebuggerPresent。
  • 通过查询调试寄存器（DR0~DR7）。
  • 使用int 3或异常处理机制检测调试器。
• 反虚拟化特性：
  • 检测VMware、VirtualBox相关文件或注册表。
  • 使用CPUID指令检测虚拟机环境。
• 代码注入行为：
  • 创建远程线程（CreateRemoteThread）。
  • 修改其他进程的内存空间（WriteProcessMemory）。

6. 网络活动

• 硬编码IP和域名：查找指向C2服务器的网络连接代码。
• 数据加密或编码：分析是否有Base64编码、加密算法（如AES、RC4）等。
• DNS查询行为：检查是否调用DnsQuery等API。

7. 异常段和数据结构

• 未知段：
  • 段名称异常，如.text1、.fake。
  • 数据段中存在看似随机的数据（可能是加密的payload）。
• 异常的入口点偏移：如果入口点并不在.text段，可能暗藏恶意行为。
• 自修改代码：通过堆栈或内存对自身代码进行修改。

8. 行为模式匹配

• 使用YARA规则或其他特征匹配工具识别已知的恶意特征。
• 对比代码段与已知恶意样本的相似性。

9. 加密与压缩

• 检查是否有已知加密/压缩算法的实现，如AES、RSA、UPX。
• 动态分析这些函数的行为，提取解密或解压后的数据。

10. 钩子与监视

• 检查是否挂钩API：通过Inline Hook或IAT Hook。
• 分析恶意软件是否尝试监视用户活动：
  • 捕获键盘（Keylogger）。
  • 截屏（GDI相关API）。
  • 网络嗅探。

工具与技巧

1. 交叉引用（XREF）：
   • 利用IDA的XREF功能查找函数、全局变量的调用位置。
   • 逆向动态调用的函数。
2. 动态调试：
   • 配合调试器（如IDA Pro、x64dbg、OllyDbg）进行动态分析，捕获恶意行为。
3. 脚本自动化：
   • 使用IDA Python脚本批量查找特定模式（如动态解密函数）。

IDA Keypatch 插件 是一个用于 IDA Pro 的逆向工程插件，它可以帮助用户在 IDA 的汇编代码中进行修改和重新编译（即直接在 IDA 中汇编新的指令）。Keypatch 的主要功能是通过将汇编指令重新编译到二进制文件中，从而快速修改代码逻辑。

1. Keypatch 的主要功能

1. 汇编指令修改：
   • 可以直接替换已有的机器指令，生成新的指令并重新写入。
2. 多架构支持：
   • 支持多种 CPU 架构，如 x86、x64、ARM、ARM64 等。
3. 操作便捷：
   • 无需手动计算机器码，可以直接输入汇编语言，插件会自动完成反汇编与编译。
4. 保存修改：
   • 可以将修改后的指令保存到二进制文件中，生成补丁版本。
5. 实时查看：
   • 即时显示新指令的机器码和替换后的效果。

2. Keypatch 的安装步骤

前提要求：

• 安装 IDA Pro（支持 IDA 7.x 或更高版本）。
• 安装 Python 环境（Keypatch 是一个 Python 插件）。

安装步骤：

1. 下载 Keypatch：
   • 从 Keypatch 的 GitHub 仓库下载插件：Keypatch GitHub
2. 解压并复制文件：
   • 将下载的 Keypatch 插件文件解压到 IDA 的 plugins 文件夹中。
   • 路径示例：
     makefile

     C:\Program Files\IDA Pro\plugins\

3. 安装依赖 Keystone 引擎：
   • Keypatch 使用 Keystone 引擎进行汇编，需要安装该引擎。
   • 在命令行中运行以下命令安装 Keystone：
     bash

     pip install keystone-engine

4. 启动 IDA Pro：
   • 启动 IDA 后，可以在插件菜单中找到 Keypatch 插件。

3. 使用 Keypatch 修改代码

步骤：

1. 选择需要修改的地址：
   • 在 IDA 的反汇编视图中，定位到目标地址，右键点击。
   • 选择 “Keypatch” 菜单项，或按快捷键 Ctrl+Alt+K。
2. 输入新指令：
   • 弹出 Keypatch 输入框，在框内输入新的汇编指令（支持多行）。
   • 例如，将 mov eax, 1 替换为 mov eax, 0。
3. 确认并应用：
   • 点击 “Assemble” 按钮，Keypatch 会生成新的机器码并替换原始代码。
   • 替换完成后，可以看到反汇编视图中的代码已被更新。
4. 保存修改：
   • 如果需要保存修改后的文件，可以选择 “File → Produce File → Create a New Executable”。

4. Keypatch 示例

原始代码：

使用 Keypatch 修改指令：

1. 右键地址 00401000，选择 “Keypatch”。
2. 输入以下新指令：
   assembly

   mov eax, 2

3. 点击 “Assemble” 应用修改。

修改后的代码：

5. 常见问题与解决方法

1. Keypatch 未加载成功：
   • 确认插件安装路径是否正确。
   • 检查是否安装了 Keystone 引擎。
   • 检查 IDA 的 Python 环境是否正常工作。
2. 指令不支持：
   • Keypatch 支持常见的架构和指令集，若遇到不支持的指令，可能是架构问题。
   • 确保目标代码的 CPU 架构和 Keypatch 的设置一致。
3. 修改后崩溃：
   • 确保替换的指令逻辑合理且不会破坏原程序的逻辑。
   • 检查替换指令的大小是否与原指令匹配，避免覆盖相邻代码。

6. Keypatch 的优势

• 快速修改：无需外部工具即可直接在 IDA 中完成补丁操作。
• 易用性强：界面友好，支持多种架构和指令。
• 高效性：实时查看修改结果，无需反复编译和调试。

在 IDA Pro 中，根据字符串找到对应的函数逻辑是分析程序的重要步骤，尤其是定位关键功能代码。以下是具体的方法和步骤：

1. 打开字符串窗口

• 按 Shift + F12，或通过菜单：
  View → Open subviews → Strings


  打开 Strings Window，查看程序中的所有提取字符串。

2. 定位目标字符串

• 在字符串窗口中，按 Ctrl + F 搜索你需要的字符串内容，例如程序的日志信息、错误提示、界面文本等。
• 双击选中的字符串，这会跳转到该字符串在内存中的位置（数据段）。

3. 查找字符串引用 (XREFs)

• 在字符串对应的地址位置，右键选择 “Xrefs to” 或按快捷键 Ctrl + X。
• 这会列出所有引用到该字符串的代码地址，通常是使用这个字符串的函数或位置。

4. 跳转到调用字符串的代码

• 双击交叉引用 (XREF) 列表中的某个地址，IDA 会跳转到该字符串被使用的具体代码位置。
• 在汇编代码中，常见的操作是将字符串地址加载到寄存器中，然后调用函数。例如：
  mov rdi, offset aString ; 加载字符串地址到寄存器
call printf ; 调用打印函数


  从这里可以识别出引用字符串的函数逻辑。

5. 确定包含逻辑的函数

• 在代码引用位置，按快捷键 P 或右键选择 “Jump to function”，跳转到包含该引用的函数入口。
• IDA 会显示该函数的完整汇编逻辑，或者如果你安装了 Hex-Rays 插件，按 F5 切换到高级语言反编译视图。

6. 分析函数逻辑

• 检查函数中引用字符串的上下文，分析其逻辑。字符串常用于：
  • 错误信息：定位错误处理函数。
  • 日志输出：定位调试或跟踪逻辑。
  • UI 逻辑：识别用户界面处理代码。
• 配合交叉引用 (XREF) 查看该函数是否被其他函数调用，以进一步追踪程序执行逻辑。

7. 利用调试功能

如果静态分析无法明确判断函数的用途，可以结合动态调试：

1. 在函数入口处设置断点。
2. 运行程序并触发相关功能。
3. 在调试窗口中观察函数的实际执行情况。

8. 高级技巧

• 函数重命名：在 IDA 中，可以双击函数名称或按快捷键 N，对函数进行重命名（如 handle_error()），方便后续分析。
• 评论注释：对代码添加注释以记录逻辑（快捷键：;）。
• 使用 FLIRT 签名识别库函数：有时字符串可能与标准库函数相关（如 printf 或 sprintf），IDA 会自动识别它们，节省分析时间。

示例

假设字符串是 "Error: File not found"，可能的调用代码如下：

• 通过 Xrefs to 跳转到该代码后，跟踪到调用函数，例如 handle_file_error()。
• 在该函数中，你可能还会看到文件路径处理逻辑。

总结

通过字符串查找对应的函数逻辑是一个自顶向下的分析过程：

1. 定位字符串 → 查找交叉引用 → 跳转函数入口 → 分析逻辑。
2. 动态调试可以进一步验证静态分析的结果。

IDA打开 流程图自动添加偏移地址 和 自动注释功能

流程图和线形图的切换

空格键

高级语言功能

IDA 高级功能，F5 直接可以讲汇编语言 转换成 高级语言

Tab键 用于汇编语言和 高级语言之间切换

IDA打开字符串窗口

• 在 IDA 中，按快捷键 Shift + F12，或者通过菜单：
• View → Open subviews → Strings
• 这会打开一个 Strings Window，显示程序中所有的字符串。

IDA的界面窗口还原

不论怎么关闭窗口，可以直接回到最初默认的窗口状态

需要先启用“适用于 Linux 的 Windows 子系统”可选功能，然后才能在 Windows 上安装 Linux 分发

若要更新到 WSL 2，需要运行 Windows 10。

• 对于 x64 系统：版本 1903 或更高版本，内部版本为 18362.1049 或更高版本。
• 对于 ARM64 系统：版本 2004 或更高版本，内部版本为 19041 或更高版本。

或 Windows 11。

安装 WSL 2 之前，必须启用“虚拟机平台”可选功能。 计算机需要虚拟化功能才能使用此功能。

Linux 内核更新包会安装最新版本的 WSL 2 Linux 内核，以便在 Windows 操作系统映像中运行 WSL。 （若要运行 Microsoft Store 中的 WSL 并更频繁地推送更新，请使用 wsl.exe --install 或 wsl.exe --update。）

旧版 WSL 的手动安装步骤 | Microsoft Learn