首页
社区
课程
招聘
[原创]病毒行为分析工具OllySafev1.10
发表于: 2007-12-23 14:35 14222

[原创]病毒行为分析工具OllySafev1.10

2007-12-23 14:35
14222
病毒分析工具OllySafe

一、What’s fucking this

病毒分析工具OllySafe其实就是MiniSafe的专业版,是一个专门为病毒分析员提供的OllyDbg插件,它可以对病毒操作文件、注册表、进程进行拦截分析,能够简化病毒分析难度,协助好病毒分析工作。

二、如何安装

解压安装包后把olly_hardware_breakpoint.dll、MiniSafe.exe、OllySafe.sys三个文件拷贝到OllyDbg的Plugin目录下即可完成安装,注意不要超过32个插件的上限了,最好在OllyDbg的安装目录下也拷贝一份。

三、使用说明

以壳和花指令都比较多的icesword为例。

用OllyDbg打开icesword,可以看到OllySafe自动运行了。

最小化OllySafe窗口。

按F9运行icesword。

       首先可以看到icesword加载的部分DLL文件,先不管,点击是加载之。

       然后可以拦截到icesword对注册表的操作,要写入\SystemRoot\System32\Drivers\IsDrv120.sys,先拦截下来看一下多,点击暂停。

再点击是先让其修改注册表。一般来说程序会停在Ntdll.dll模块中,要用ALT+F9返回到用户代码。

但由于Icesword是自己直接调用的Native Api,所以可以省去这一步了:)

就可以看到icesword操作注册表的相关代码。F9继续运行

进程IceSword_unpacked.ex试图加载驱动\Registry\Machine\System\CurrentControlSet\Services\IsDrv120

这次拦到的是驱动加载操作了。

点击暂停后返回用户代码,这次点否。

上下翻看,可以发现IceSword第一次加载驱动不成功后还会使用随机文件名加载驱动。

好了,如何使用暂时先说到这里。

四、注意事项

1、为了安全,OllySafe运行时禁止任何进程的创建。这主要是防止病毒通过Winexec创建不受OllySafe监控的恶意程序,所以你在调试时想运行的程序请在启动OllySafe之前运行。

下载地址:http://ds.360safe.com/?uid-127-action-viewspace-itemid-105

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 208
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
尝试一下这个.不过我调试发现病毒,一般都不会有什么太多的加密形为,基本都是直奔主题.
2008-1-2 21:15
0
雪    币: 260
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看见小聪的分析,下载一个了
2008-1-17 11:22
0
雪    币: 196
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
有一点儿的兴趣,下载来看看拉~~~
2010-2-25 03:40
0
雪    币: 52
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
有意思 不过我不大懂,但还是要感谢楼主的分享
2010-2-28 17:42
0
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
下载来研究下病毒的行为
2010-11-15 15:20
0
雪    币: 4560
活跃值: (1002)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
这个可以顶
2010-11-15 15:24
0
雪    币: 216
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
顶下!
凑字,。。。。。。。。
2010-11-15 16:37
0
雪    币: 414
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
好工具.....
就是监视注册表我的显示内容怎么会乱码呢?
2011-7-6 14:45
0
游客
登录 | 注册 方可回帖
返回
//