由于恶意软件经常被打包,我希望在可能的情况下自动执行一些解包任务。
为了做到这一点,我认为 OllyScript 是一种为我必须处理的每个打包程序编写解包脚本的有趣方式。但是我想为其编写此类脚本的第一个打包程序示例在 Ollydbg/ImmunityDbg 中带来了“32 位可执行文件的错误或未知格式”错误。
由于 OllyDbg2 没有这个问题,我认为 OllyScript+OllyDbg2 会很完美,但是 OllyScript 似乎没有 OllyDbg2 的版本......
您建议我使用哪种“脚本引擎”来编写解包脚本?
好吧,如果您正在使用ImmunityDbg,请查看使用 Python 编写解包脚本。使用 ImmunityDbg,Python 脚本支持是内置的。
专注于 Python(而不是 OllyScript)的另一个好处是,如果您开始使用带有 IDAPython 的 IDA Pro,您的脚本将更容易转换。
如果您不熟悉如何用 Python 编写解包程序,请查看Gray Hat Python。这本书没有向您展示如何编写解包程序,而是演示了如何使用(来自 Python)PE 文件、调用 Windows API、编写调试器和其他相关任务。
Immunity Debugger 的 Python API 包括许多有用的实用程序和函数。您的脚本可以像本地代码一样集成到调试器中。这意味着您的代码可以创建保留在 Immunity Debugger 用户体验范围内的各种自定义表格、图形和界面。例如,当 Immunity SafeSEH 脚本运行时,它会将结果输出到 Immunity Debugger 窗口中的表格中。
