微慑信息网-VulSee.comscdbg是一款多平台开源的Shellcode模拟运行、分析工具。其基于libemulibrary搭建的虚拟环境,通过模拟32位处理器、内存和基本Windows
API运行环境来虚拟执行Shellcode以分析其行为。有了虚拟执行妈妈再也不用担心我的电脑中病毒了。
基本原理
众所周知,shellcode为了实现特定的功能必须通过调用系统API来完成-不论先前怎怎么变形怎么加密最后都会调用系统API。scdbg就是通过
模拟执行以及hook多达200多个API来探测shellcode的行为。当然比如创建文件和访问网络这些危险的API并没有真正的在本机执行,而是通
过传回虚假的返回值来欺骗shellcode让其平稳运行。
直接命令行输入scdbg.exe 来看看输出:
scdbg和通常的命令行工具一样,有着众多参数选项,这里只做最基本的演示,就不一一列举。想必大家都有在命令行下痛苦的经历,命令行的历史就是我等小菜的血泪史,还好scdbg有GUI图形界面版:
指定偏移,自定参数一目了然。
运行前先加白名单吧,不然会报毒:
项目地址:
https://github.com/dzzie/VS_LIBEMU
| 本文标题: | 恶意代码分析利器:scdbg |
| 本文链接: (转载请附上本文链接) | https://vulsee.com/archives/vulsee_2021/1130_15775.html |