在Hacker和病毒作者之間的永恆鬥爭中,反混淆是非常重要的。在當前的計算機環境中,使用混淆技術編寫惡意軟體幾乎是常態。一些惡意軟體的開發者會使用Python作為編寫它們的主要語言,Python中使用最常見的技術就是反混淆技術。
一、從payloaddumper下載
payload_dumper是Python工具集的一部分。使用這個工具,您可以反混淆Python腳本並將其輸出到單個文件中。這樣,您可以查看其中的明文以便進行分析。為了下載payloaddumper,請使用以下命令:
git clone https://github.com/downloads/kholia/payload_dumper/payload_dumper-0.1.zip
unzip payload_dumper-0.1.zip解壓完成後,payload_dumper將會在本地目錄中可用。接下來,您需要了解payload_dumper如何工作。
二、使用payload_dumper閃退
當您嘗試去分析對方用了混淆技術編寫的Python惡意代碼時,最常見的問題就是腳本閃退。這是由於大多數混淆技術(最常見的是PyArmor和py2exe)將代碼壓縮到單個可執行文件中。當你嘗試去運行這個文件,解包將被執行,但Python自身沒有足夠的信息來解壓這些代碼,從而導致腳本閃退。
但是,如果您使用payload_dumper,這個問題將得到解決。Payload_dumper使用了IDA作為反混淆引擎,IDA能夠解決基本的Python混淆技術。IDA中包含「PYTHON-解碼器」,這個解碼器將輸入文件中混淆過的Python代碼解碼並輸出到一個新的文件中。使用反混淆技術將混淆的代碼恢復為非混淆的代碼是一件非常困難的事情,但是相比於完全重構,這是一種比較可行的方式。
三、深入payload_dumper
1. 導入IDA資料庫
import idc
import idaapi
import idautils
def load_database(database_path):
return idaapi.load_database(database_path, False)
在導入IDA資料庫時,您應該指定工作目錄中的文件名,然後將它傳給’load_database’函數。如果該文件不存在,將返回None。如果成功導入,將返回已打開資料庫的文件句柄。
2. 訪問內存地址
def read_mem(addr, size):
buf = idaapi.dbg_read_memory(addr, size)
return buf
使用「dbg_read_memory」函數可以很容易地訪問IDA中的內存地址。您傳遞地址和大小作為參數,然後函數將返回一個字元串,其中包含您請求的位元組數。
3. 導出程序中的函數
def export_functions(database, export_path):
ea = idc.get_inf_attr(idc.INF_MIN_EA)
end_ea = idc.get_inf_attr(idc.INF_MAX_EA)
file = open(export_path, "w")
for ea in range(ea, end_ea):
fname = idc.get_func_name(ea)
if fname != '':
file.write(str(hex(ea)) + ' ' + fname + '\n')
file.close()
使用這個函數,您可以將IDA資料庫中找到的函數導出到一個文件中。您需要指定要導出的函數地址,以及要寫入函數名稱的文件名。函數名稱和地址是使用空格分隔的,以便您在之後進行分割。
4. 導出IDA資料庫
def save_database(database, database_path):
new_database_path = database_path + '_new'
idaapi.save_database_as(new_database_path)
os.rename(new_database_path, database_path)
最後,您會需要導出修改後的IDA資料庫文件。在這個函數中,將新的IDA資料庫命名為「_new」,然後將其改名為源文件名。這樣就可以保存修改後的文件。
這些函數提供了調用payload_dumper時需要的基礎。如果您需要更高級的功能,例如對Python解釋器的特定功能進行分析,您可以查找IDA文檔或者尋求專業的幫助來獲取更多的幫助。但是,對於標準的Python反混淆功能,payload_dumper是一個可靠的選擇。祝您好運!
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/305076.html
微信掃一掃 
支付寶掃一掃 