在Hacker和病毒作者之间的永恒斗争中,反混淆是非常重要的。在当前的计算机环境中,使用混淆技术编写恶意软件几乎是常态。一些恶意软件的开发者会使用Python作为编写它们的主要语言,Python中使用最常见的技术就是反混淆技术。
一、从payloaddumper下载
payload_dumper是Python工具集的一部分。使用这个工具,您可以反混淆Python脚本并将其输出到单个文件中。这样,您可以查看其中的明文以便进行分析。为了下载payloaddumper,请使用以下命令:
git clone https://github.com/downloads/kholia/payload_dumper/payload_dumper-0.1.zip
unzip payload_dumper-0.1.zip解压完成后,payload_dumper将会在本地目录中可用。接下来,您需要了解payload_dumper如何工作。
二、使用payload_dumper闪退
当您尝试去分析对方用了混淆技术编写的Python恶意代码时,最常见的问题就是脚本闪退。这是由于大多数混淆技术(最常见的是PyArmor和py2exe)将代码压缩到单个可执行文件中。当你尝试去运行这个文件,解包将被执行,但Python自身没有足够的信息来解压这些代码,从而导致脚本闪退。
但是,如果您使用payload_dumper,这个问题将得到解决。Payload_dumper使用了IDA作为反混淆引擎,IDA能够解决基本的Python混淆技术。IDA中包含“PYTHON-解码器”,这个解码器将输入文件中混淆过的Python代码解码并输出到一个新的文件中。使用反混淆技术将混淆的代码恢复为非混淆的代码是一件非常困难的事情,但是相比于完全重构,这是一种比较可行的方式。
三、深入payload_dumper
1. 导入IDA数据库
import idc
import idaapi
import idautils
def load_database(database_path):
return idaapi.load_database(database_path, False)
在导入IDA数据库时,您应该指定工作目录中的文件名,然后将它传给'load_database'函数。如果该文件不存在,将返回None。如果成功导入,将返回已打开数据库的文件句柄。
2. 访问内存地址
def read_mem(addr, size):
buf = idaapi.dbg_read_memory(addr, size)
return buf
使用“dbg_read_memory”函数可以很容易地访问IDA中的内存地址。您传递地址和大小作为参数,然后函数将返回一个字符串,其中包含您请求的字节数。
3. 导出程序中的函数
def export_functions(database, export_path):
ea = idc.get_inf_attr(idc.INF_MIN_EA)
end_ea = idc.get_inf_attr(idc.INF_MAX_EA)
file = open(export_path, "w")
for ea in range(ea, end_ea):
fname = idc.get_func_name(ea)
if fname != '':
file.write(str(hex(ea)) + ' ' + fname + '\n')
file.close()
使用这个函数,您可以将IDA数据库中找到的函数导出到一个文件中。您需要指定要导出的函数地址,以及要写入函数名称的文件名。函数名称和地址是使用空格分隔的,以便您在之后进行分割。
4. 导出IDA数据库
def save_database(database, database_path):
new_database_path = database_path + '_new'
idaapi.save_database_as(new_database_path)
os.rename(new_database_path, database_path)
最后,您会需要导出修改后的IDA数据库文件。在这个函数中,将新的IDA数据库命名为“_new”,然后将其改名为源文件名。这样就可以保存修改后的文件。
这些函数提供了调用payload_dumper时需要的基础。如果您需要更高级的功能,例如对Python解释器的特定功能进行分析,您可以查找IDA文档或者寻求专业的帮助来获取更多的帮助。但是,对于标准的Python反混淆功能,payload_dumper是一个可靠的选择。祝您好运!
