您如何探索未执行的恶意软件中的行为?

逆向工程 恶意软件
2021-06-22 23:44:17

我有一个恶意软件样本,我知道它充当机器人并连接到僵尸网络。问题是它不使用我熟悉的已知协议(它类似于 IRC)并且在发出命令之前实际上不会做任何事情。

我如何探索可以通过 C&C 服务器发布给它的行为?我正在考虑可能在接收命令的程序部分使用符号执行?静态分析会很乏味,因为代码被混淆了。

1个回答

我建议使用像 x32dbg 这样的调试器并动态更改参数以触发您正在寻找的行为。

此外,您可以使用 INetSim 之类的服务来响应恶意软件样本的查询。

其它你可能感兴趣的问题
上一篇用于 Linux 的 OTOOL 替代方案 下一篇学校项目 - 破解学校模拟器