質問:
ラベルとコメントをImmunityDebuggerに保存する
AK-33
2015-08-21 13:47:43 UTC
view on stackexchange narkive permalink

Immunity Dbg v1.85(これまでの最新バージョン)を使用しています。コメントを作成し、関数のラベルをX.00402AC0のようなものからX.password_checkerのようなより便利なものに変更しながら、マルウェアの一部を分析するのに約1時間費やしました。マルウェアにパッチを適用してパスワードチェッカー機能をスキップし(実行可能ファイルにコピー>すべての変更)、新しいファイルに保存した後、パッチを適用したバージョンをデバッガーで開くと、コメントとラベルの変更がすべて消えたことがわかります。

興味深いのは、デバッガーを終了してから、パッチが適用されていない元の実行可能ファイルを再度開くと、コメントとラベルが残ることです。バイナリの変更を新しいファイルに保存した場合にのみ、それらは失われます。言うまでもなく、これはパッチを適用して共有する必要がある複雑なバイナリで作業する場合に非常に不便です。

ラベルへの変更やコメントをImmunityの新しい実行可能ファイルに保存する方法はありますか?

二 答え:
Vitaly Osipov
2015-08-23 03:41:41 UTC
view on stackexchange narkive permalink

Googleはこれらのリンクを見つけます。彼らは助けになりますか?

http://www.openrce.org/forums/posts/2072

http://fumalwareanalysis.blogspot .com / 2012/01 / malware-analysis-tutorial-12-debug.html

助けてくれてありがとう。これらを詳しく調べて実験する必要があります。これらのチュートリアルは、実行可能ファイルを分析するときにコメントを保存する方法と、実行可能ファイルによって呼び出されるDLLファイルを操作するときにコメントが保存されない場合の対処方法について説明しています。バイナリにパッチを適用すると、それが新しい実行可能ファイルに保存され、新しいUDDファイルは新しい実行可能ファイルが開かれるまで作成されないため、元の実行可能ファイルUDDに保存されたデータが転送されることはないと思います。
私自身の研究で、私がやりたいことがOllyDbg2.0で可能であることにどこかで出くわしました。弾丸を噛んで切り替えるだけかもしれません。うーん...
Igor Skochinsky
2017-09-11 21:44:25 UTC
view on stackexchange narkive permalink

前述の OpenRCEフォーラムスレッドからの情報を保持するために、関連情報をここに貼り付けました:

OllyDbgv1.10が.UDDデータを破棄するその他の理由は次のとおりです。 :

1)ファイルパス名の変更例: xxx.exeが「c:\ xxx.exe」から「c:\ new \ xxx.exe」に移動しました。

「パスと拡張子を無視する」オプションを設定して、このチェックをバイパスできます。

2)ファイルのLastWrite時間の変更。

[タイムスタンプを無視]オプションを設定して、このチェックをバイパスできます。

3) A前回のセッション以降のコードセクションのCRCの変更。

このチェックをバイパスするには、[コードセクションのCRCを無視する]オプションを設定できます。

ケース3があると思います。



このQ&Aは英語から自動的に翻訳されました。オリジナルのコンテンツはstackexchangeで入手できます。これは、配布されているcc by-sa 3.0ライセンスに感謝します。
Loading...