恶意样本分析-Lab16-01 反调试1分析

这个样本是随书《恶意代码分析实战》第十六章的样本，主要用来熟悉反调试的一些手段，这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求

在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录

静态分析

静态分析就不做PE信息的分析，直接走IDA分析，这个过程尽量不走伪代码分析，分析汇编指令，便于在x64dbg上分析时快速定位。

由于已经在第九章分析了，因此这里关注到反调试手段。首先来到入口处看到关键指令

很明显这个两个检测都是PEB结构的变量的检测，如果都不为0，则会调用函数sub_401000删除样本。

动态调试分析

使用x64dbg加载来到入口位置（这里注意如果程序放行就会停止同时样本被删除），

• 检测BeingDebugged

第一个检测返回状态值不为0，为1

手动修改结果eax=0

修改完之后就手动过掉这个检测。

• 测ProcessHeap

  双击ZF就从0变为1

这样就过掉这个检测。

• 检测NtProcessFlag

  这里会检测NtProcessFlag的值是否为0x70

正常情况的是0，如果被调试可以看到这个状态值是0x70

这里同样清掉这个值为0即可。

这样就过掉所有的检测了

剩下的就是之前分析的不再继续分析了。