NOP大法:空指令(汇编语言 编程语言),等于什么都不做
常规思路:找到判断的关键代码处,直接修改为空指令,让攻击者的免杀代码/沙箱识别措施直接跳过
方法:找关键代码方法:字符串查找法
此为单独判断密码。
提示Try Again!!我们使用搜索模块
针对搜索出来的字符串,按下F2,打断点(软件代码层),再点击CPU
然后在点击一次验证,发现运行至断点处。
观察上下文,你会发现有个跳转,
所以,逻辑很明显的能看出,我要让它保持跳转到判断正确的位置,而不是我的断点往下错误的位置,就像平时写代码,if / else 你要让他跳到你希望跳到的判断趋势。
所以在jne的判断条件这里添加Nop填充,让它直接往下进入正确的判断而不是错误判断条件。
这个时候点击继续运行即可成功。
实际调试恶意样本也不要慌张,都是人写的代码,也不会那么复杂,所有代码是一行一行逻辑性地往下执行,想办法跳过你不想进入循环的位置就行。
原文始发于微信公众号(硅步security):样本分析方法案例 – 002
