Willkommen bei Scribd!

Unpacking Malware Using IDA Pro Extensions

Hochgeladen von

0% fanden dieses Dokument nützlich (0 Abstimmungen)

226 Ansichten4 Seiten

This document discusses using IDA Pro and plugins to analyze and unpack packed malware binaries. It describes using the Entry Point Finder (EPF) plugin to automate finding the original entry point of packed executables. The EPF traces code execution until a "popa" instruction is reached, indicating the end of the packer's code. Once the original entry point is found, the dumped unpacked memory segments can be analyzed within IDA Pro.

Originalbeschreibung:

Unpacking Malware Using IDA Pro Extensions

Copyright

Verfügbare Formate

PDF, TXT oder online auf Scribd lesen

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Dieses Dokument melden

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

0% fanden dieses Dokument nützlich (0 Abstimmungen)

226 Ansichten4 Seiten

Unpacking Malware Using IDA Pro Extensions

Hochgeladen von

torontogoat

Copyright:

Attribution Non-Commercial (BY-NC)

Verfügbare Formate

Als PDF, TXT herunterladen oder online auf Scribd lesen

Markieren Sie unangemessene Inhalte

Zu Seite

Sie sind auf Seite 1von 4

Im Dokument suchen

Unpacking malicious software using IDA Pro extensions

A paper by Dennis Elser

In almost all cases of today's malicious software, executable packers or -crypters are used in order to obfuscate code and data. In some cases unpackers and dumpers are a ailable. In ery few cases t!ey actually work on packed malware executables due to modifications of internal structures suc! as t!e P" !eader. In t!e following example an unknown binary is loaded into IDA Pro#. $!e code at t!e entry point of t!e executable looks like t!is%

&ig. # A segment named 'UP(#), an in alid import address table and an empty list of strings are an indicator for a packed file. UP(* !owe er, can not unpack t!e file because internal structures !a e been modified. $!is tec!ni+ue often is used by malware aut!ors to make unpacking and re erse engineering !arder. $!e first step now is to obtain a readable representation of t!e packed executable. A good and +uick start in ac!ie ing t!is is to run t!e executable and dump t!e pre iously packed segment,s-, once t!ey !a e been unpacked. Preferably, t!e dump s!ould be made rig!t after t!e executable !as been completely unpacked in memory. $!is often is t!e case after t!e original entry point ,."P- !as been reac!ed. &inding t!e ."P isn't always tri ial and can be a time consuming process because you need to single step t!roug! t!e code. Using t!e IDA Pro /D0, a plugin named "P&1 ,"ntry Point &inder- !as been created, aimed towards automating t!e process of finding t!e original entry point. An isolated en ironment ,a irtual mac!ine for example- is used to carefully

&ig. * run t!e executable in IDA Pro's debugger. &igure * s!ows t!e extended instruction

pointer ,"IP- pointing to a 'pus!a) mnemonic. $!is statement is used as t!e first instruction to 'back up) t!e content of all standard registers. 2any executable compressors use a 'popa) instruction at t!e end of t!eir code to restore t!e pre iously sa ed state. $!is be!a ior can be exploited by t!e "P& plugin3 t!e plugin offers an option to let t!e IDA Pro debugger trace code until a specific mnemonic is reac!ed.

&ig. 1 After t!e "P& plugin !as been started and configured, t!e process can be resumed ,be careful, don't run malware on your !ost system4-. After a few seconds, t!e process is paused and "P& turned off. $!e following message appears%

&ig. 5

$!e code at "IP points to a 'popa) mnemonic followed by a 6ump and t!e end of

&ig. 7

t!e 'start) procedure. /ingle stepping o er t!e 6ump leads to t!e following message box%

&ig. 8 9!oosing ':es) creates an instruction at "IP and IDA Pro begins to analy;e control flow.

&ig. < "IP now points to a segment labeled 'UP(=). $!is is ery likely t!e original entry point. It is reasonable to make a dump of t!e segment now. $!e Dump/eg5 plugin can list and dump all segments a ailable.

&ig. >

$!e dumped segment can t!en be reloaded and analy;ed by IDA Pro.

References
#.- IDA Pro, Date?escue ,!ttp%@@www.datarescue.com@idabase*.- UP(, 2arkus &.(.A. .ber!umer B Cas;lo 2olnar 1.- "P&, Dennis "lser ,!ttp%@@www.backtrace.de5.- Dump/eg, Dennis "lser ,!ttp%@@www.backtrace.de-

Das könnte Ihnen auch gefallen

Sniffing Spoofing
Dokument6 Seiten
Sniffing Spoofing
DeTRoyD
Noch keine Bewertungen
3D Modeling
Dokument36 Seiten
3D Modeling
Nizam [nezvm]
Noch keine Bewertungen
Machine Learning with the Raspberry Pi: Experiments with Data and Computer Vision
Von Everand
Machine Learning with the Raspberry Pi: Experiments with Data and Computer Vision
Donald J. Norris
Noch keine Bewertungen
Hacking MAAS: Coding Style
Dokument7 Seiten
Hacking MAAS: Coding Style
Manuela Taveras
Noch keine Bewertungen
Software Engineering: Mega Mart Advertisement Release Management
Dokument42 Seiten
Software Engineering: Mega Mart Advertisement Release Management
Rao Varun Yadav
Noch keine Bewertungen
Hacking a Terror Network: The Silent Threat of Covert Channels
Von Everand
Hacking a Terror Network: The Silent Threat of Covert Channels
Russ Rogers
Bewertung: 5 von 5 Sternen
5/5 (1)
CFF Explorer Scripting Language
Dokument43 Seiten
CFF Explorer Scripting Language
night_shade88
Noch keine Bewertungen
Hackitt and Bodgitt ESP
Dokument116 Seiten
Hackitt and Bodgitt ESP
Paul Cristea
Noch keine Bewertungen
W32Dasm Debugger Manual
Dokument40 Seiten
W32Dasm Debugger Manual
kikouchaa
100% (6)
Blackhat 2014 Briefings Presentation Exp CC Flaws Adityaks
Dokument37 Seiten
Blackhat 2014 Briefings Presentation Exp CC Flaws Adityaks
Abiyau Neo
Noch keine Bewertungen
Digital Data Extraction For Vehicles Forensic Investigation
Dokument6 Seiten
Digital Data Extraction For Vehicles Forensic Investigation
louai00
Noch keine Bewertungen
3.5.7 Lab - Social Engineering
Dokument2 Seiten
3.5.7 Lab - Social Engineering
ThinVU
Noch keine Bewertungen
Disk encryption A Complete Guide - 2019 Edition
Von Everand
Disk encryption A Complete Guide - 2019 Edition
Gerardus Blokdyk
Noch keine Bewertungen
Ultimatep2V: by Chris Huss and Mike Laverick
Dokument29 Seiten
Ultimatep2V: by Chris Huss and Mike Laverick
multihuman
Noch keine Bewertungen
How To Use Beast Trojan
Dokument1 Seite
How To Use Beast Trojan
Mujthaba Hassan
Noch keine Bewertungen
BadStore Net v2 1 Manual PDF
Dokument23 Seiten
BadStore Net v2 1 Manual PDF
Guillermo Andrade
Noch keine Bewertungen
EC40 Application Form - 0
Dokument17 Seiten
EC40 Application Form - 0
Ben Roberts
Noch keine Bewertungen
Chips
Dokument3 Seiten
Chips
Butt Head
Noch keine Bewertungen
Principal Security Engineer and Security Researcher: Filipi Pires
Dokument19 Seiten
Principal Security Engineer and Security Researcher: Filipi Pires
Rodrigo Juan
Noch keine Bewertungen
Jquery Datatable Example PDF
Dokument2 Seiten
Jquery Datatable Example PDF
Muhammad Nazarudin
Noch keine Bewertungen
Lesson
Dokument329 Seiten
Lesson
Lapa Etienne
Noch keine Bewertungen
Writing Optimized Windows Shellcode in C
Dokument10 Seiten
Writing Optimized Windows Shellcode in C
Jonathan Cohen Scaly
Noch keine Bewertungen
Direct3D Overviews
Dokument84 Seiten
Direct3D Overviews
ferretchromosome
Noch keine Bewertungen
Certified Ethical Hacker Certified Ethical Hacker: 10 (Practical)
Dokument12 Seiten
Certified Ethical Hacker Certified Ethical Hacker: 10 (Practical)
Mohit panjiyar
Noch keine Bewertungen
Photoshop Scripting
Dokument16 Seiten
Photoshop Scripting
JeRemias Enjambre
Noch keine Bewertungen
PSDTuts - Photoshop Tutorials and Links - Advanced Glow Effects
Dokument80 Seiten
PSDTuts - Photoshop Tutorials and Links - Advanced Glow Effects
prafesar_88
100% (6)
Smart Cards
Dokument19 Seiten
Smart Cards
Rakesh Belakud
Noch keine Bewertungen
Themida - Winlicense Ultra Unpacker 1.4
Dokument270 Seiten
Themida - Winlicense Ultra Unpacker 1.4
VirlanRobertt
Noch keine Bewertungen
4 Mysql2
Dokument29 Seiten
4 Mysql2
Jay
100% (1)
ASProtect VM Analyze
Dokument33 Seiten
ASProtect VM Analyze
gioruwre
Noch keine Bewertungen
Deeplearning 4 J
Dokument5 Seiten
Deeplearning 4 J
levin696
Noch keine Bewertungen
Anubis: Synopsis
Dokument18 Seiten
Anubis: Synopsis
Josh Buxton
100% (1)
How To Install All Spectrasonics Stylus RMX (TUT) - AudioSEX - Professional Audio Forum
Dokument4 Seiten
How To Install All Spectrasonics Stylus RMX (TUT) - AudioSEX - Professional Audio Forum
Julian Buitrago
Noch keine Bewertungen
More Than 4GB of Memory in A 32-Bit Windows Process
Dokument12 Seiten
More Than 4GB of Memory in A 32-Bit Windows Process
scriberone
Noch keine Bewertungen
Tutorial: How To Crack WPA/WPA2
Dokument10 Seiten
Tutorial: How To Crack WPA/WPA2
GerardoCuevasH
Noch keine Bewertungen
M6800 Assembly
Dokument9 Seiten
M6800 Assembly
Saral Jain
Noch keine Bewertungen
Adobe Illustrator CC 2018 2501253 PreCracked Utorrentl PDF
Dokument3 Seiten
Adobe Illustrator CC 2018 2501253 PreCracked Utorrentl PDF
Jim
Noch keine Bewertungen
Irctc Tatkal Booking Tips Hac
Dokument14 Seiten
Irctc Tatkal Booking Tips Hac
jwalakavi
Noch keine Bewertungen
Windows x64 Shellcode
Dokument15 Seiten
Windows x64 Shellcode
Ronald
Noch keine Bewertungen
Ezpdf Reader 2 2 4 0 Build 220
Dokument2 Seiten
Ezpdf Reader 2 2 4 0 Build 220
Linda
Noch keine Bewertungen
Real Time Object Measurement
Dokument3 Seiten
Real Time Object Measurement
Thong Nguyen
Noch keine Bewertungen
ECO - Chip - Reset - List - 200811 - Usd
Dokument179 Seiten
ECO - Chip - Reset - List - 200811 - Usd
SCAN SOFT
Noch keine Bewertungen
Create A Paint Bucket Tool in HTML5 and JavaScript
Dokument5 Seiten
Create A Paint Bucket Tool in HTML5 and JavaScript
maxpire
Noch keine Bewertungen
Bypassing Anti-Virus by Creating Remote Thread Into Target Process - Damon Mohammadbagher - Pulse - LinkedIn PDF
Dokument6 Seiten
Bypassing Anti-Virus by Creating Remote Thread Into Target Process - Damon Mohammadbagher - Pulse - LinkedIn PDF
Agus Croci
100% (1)
300+ Top Unity 3D Interview Questions and Answers: C++ Engineering at Tomtom
Dokument10 Seiten
300+ Top Unity 3D Interview Questions and Answers: C++ Engineering at Tomtom
Kalyani Kalyani
Noch keine Bewertungen
8369-1 Windows OS Fundamentals
Dokument296 Seiten
8369-1 Windows OS Fundamentals
Keerthana M
Noch keine Bewertungen
KofaxEquitracClientSetupGuide en
Dokument37 Seiten
KofaxEquitracClientSetupGuide en
merazka
Noch keine Bewertungen
Web Browser Attack Using Beef Framework: Harshil Sawant, Samuel Agaga
Dokument6 Seiten
Web Browser Attack Using Beef Framework: Harshil Sawant, Samuel Agaga
David Reyna Barreto
Noch keine Bewertungen
Gartner CASB Report NetSkope
Dokument26 Seiten
Gartner CASB Report NetSkope
Anthony
Noch keine Bewertungen
Proxy Bypassing With A SSL VPN: Adri An Puente Z. February 27, 2008
Dokument23 Seiten
Proxy Bypassing With A SSL VPN: Adri An Puente Z. February 27, 2008
walaba06
Noch keine Bewertungen
SR-201 Network Relay Quick Start Guide
Dokument7 Seiten
SR-201 Network Relay Quick Start Guide
iakapo
Noch keine Bewertungen
Adobe Acrobat Reader DC Download - Free PDF Viewer For Windows, Mac OS, Android
Dokument2 Seiten
Adobe Acrobat Reader DC Download - Free PDF Viewer For Windows, Mac OS, Android
AL
Noch keine Bewertungen
1701ad Gold Manual
Dokument32 Seiten
1701ad Gold Manual
Singensai
Noch keine Bewertungen
0212
Dokument36 Seiten
0212
jivasumana
Noch keine Bewertungen
Hackermonthly Issue035
Dokument40 Seiten
Hackermonthly Issue035
evandrix
Noch keine Bewertungen
GWT Banking Project
Dokument59 Seiten
GWT Banking Project
Rahul Batra
Noch keine Bewertungen
TELECOMMUNICATIONS INDUSTRY THREATS - Kaspersky - Telecom - Threats - 2016 PDF
Dokument18 Seiten
TELECOMMUNICATIONS INDUSTRY THREATS - Kaspersky - Telecom - Threats - 2016 PDF
Harry Mole
Noch keine Bewertungen
OTP Server User Portal User Manual V4.5
Dokument23 Seiten
OTP Server User Portal User Manual V4.5
omar cabrera
Noch keine Bewertungen
HTML
Dokument51 Seiten
HTML
Syed asim
Noch keine Bewertungen
Wondershare DR Fone Registration Code Crack
Dokument4 Seiten
Wondershare DR Fone Registration Code Crack
Chet Bahadur Katuwal
100% (1)
Ecsceheme
Dokument5 Seiten
Ecsceheme
mahesh24pk
Noch keine Bewertungen
zVSE Release and Hardware Upgrade
Dokument55 Seiten
zVSE Release and Hardware Upgrade
Ra Skynth
Noch keine Bewertungen
CST231 Test 1 1314
Dokument2 Seiten
CST231 Test 1 1314
Adron Lim
Noch keine Bewertungen
MineStar Health Connectivity Matrix
Dokument17 Seiten
MineStar Health Connectivity Matrix
Israel Miranda
Noch keine Bewertungen
Illustrator Cs5 Keyboard Shortcuts
Dokument2 Seiten
Illustrator Cs5 Keyboard Shortcuts
Henry Salazar
Noch keine Bewertungen
Synopsis of Courier Management System
Dokument5 Seiten
Synopsis of Courier Management System
Shayari Break
Noch keine Bewertungen
NVR5816 5832 5864-16P-4KS2E Datasheet 20210423
Dokument3 Seiten
NVR5816 5832 5864-16P-4KS2E Datasheet 20210423
Ggop
Noch keine Bewertungen
Samsung 1G X 8 Bit - 2G X 8 Bit - 4G X 8 Bit NAND Flash Memory Datasheet
Dokument50 Seiten
Samsung 1G X 8 Bit - 2G X 8 Bit - 4G X 8 Bit NAND Flash Memory Datasheet
api-3802214
Noch keine Bewertungen
DW 2
Dokument40 Seiten
DW 2
RV
Noch keine Bewertungen
Databilities 1.0 CC by-NC-ND 4.0
Dokument14 Seiten
Databilities 1.0 CC by-NC-ND 4.0
Jane Crofts
Noch keine Bewertungen
Vlocity Insurance Vella Solution Brief
Dokument2 Seiten
Vlocity Insurance Vella Solution Brief
rafa
Noch keine Bewertungen
Make HQ Combo
Dokument10 Seiten
Make HQ Combo
kalisi balkisi
Noch keine Bewertungen
Final Internship Report
Dokument60 Seiten
Final Internship Report
Biniyam
92% (13)
HD 4129 Data Sheet
Dokument2 Seiten
HD 4129 Data Sheet
Ingenieria Geomex
Noch keine Bewertungen
Flow Charts
Dokument18 Seiten
Flow Charts
jaltiti
Noch keine Bewertungen
JUMO PCA Communication Software - PCC
Dokument98 Seiten
JUMO PCA Communication Software - PCC
Gold Gold
Noch keine Bewertungen
Day 3 - Object Oriented Programming
Dokument39 Seiten
Day 3 - Object Oriented Programming
yosef
Noch keine Bewertungen
Internship Report
Dokument12 Seiten
Internship Report
nosherwan
Noch keine Bewertungen
Best Laptops 2021 Laptop Mag
Dokument1 Seite
Best Laptops 2021 Laptop Mag
THE PIRATES COVE
Noch keine Bewertungen
Android Ram Analysis
Dokument14 Seiten
Android Ram Analysis
jsmithy456
Noch keine Bewertungen
WsCube Tech Online MERN Stack Course
Dokument24 Seiten
WsCube Tech Online MERN Stack Course
Sneha
Noch keine Bewertungen
Critical Log Review Checklist For Security Incidents PDF
Dokument1 Seite
Critical Log Review Checklist For Security Incidents PDF
viny2010
Noch keine Bewertungen
Microprocessors and Microcomputers
Dokument573 Seiten
Microprocessors and Microcomputers
Mehmet Kırgözoğlu
90% (10)
ICTP - Online Applications - Application by Siwila, Stephen
Dokument6 Seiten
ICTP - Online Applications - Application by Siwila, Stephen
Wayaya2009
Noch keine Bewertungen
Leveraging Satellite Communications For 5G
Dokument21 Seiten
Leveraging Satellite Communications For 5G
abdel
Noch keine Bewertungen
Operating Manual (Deh-8350sd) - Eng - Esp - Por PDF
Dokument104 Seiten
Operating Manual (Deh-8350sd) - Eng - Esp - Por PDF
Henrique Biesdorf
Noch keine Bewertungen
Issue-Log MyISCO MCash E-Wallet
Dokument1 Seite
Issue-Log MyISCO MCash E-Wallet
Junaidi Nordin
Noch keine Bewertungen
MDX Modbus - Leroy Somer - 2011
Dokument40 Seiten
MDX Modbus - Leroy Somer - 2011
Manuel Ortega
Noch keine Bewertungen
Revit Structure and AutoCAD Feb07
Dokument19 Seiten
Revit Structure and AutoCAD Feb07
welwel
Noch keine Bewertungen
Estimating Software Engineering Effort: Project and Product Development Approach
Dokument21 Seiten
Estimating Software Engineering Effort: Project and Product Development Approach
eparateste
Noch keine Bewertungen