逆向分析实战:用IDA和OD拆解熊猫烧香病毒的核心功能(附完整调试过程)

原创 于 2026-02-14 05:39:29 发布 · 153 阅读 · 1
标签
#安全攻防 #逆向分析 #熊猫烧香病毒

逆向工程实战:熊猫烧香病毒核心功能深度解析

在网络安全领域,恶意代码分析是每位安全研究员必须掌握的核心技能。作为中国互联网历史上最具破坏力的病毒之一,熊猫烧香至今仍是研究Windows平台恶意行为的经典案例。本文将采用动静结合的分析方法,通过IDA Pro与OllyDbg的协同工作,逐层解剖病毒的8个关键功能模块,为初学者构建一套可复用的逆向分析框架。

1. 分析环境搭建与工具链配置

逆向分析的首要原则是安全隔离。建议在VMware Workstation中配置Windows XP SP3虚拟机环境,并确保满足以下条件:

  • 关闭所有共享文件夹和网络适配器
  • 安装Process Monitor用于监控文件/注册表操作
  • 准备以下工具集:
工具名称 版本要求 主要用途
IDA Pro 7.0+ 静态反汇编与函数逻辑分析
OllyDbg 1.10 动态调试与寄存器监控
PEiD 0.95 查壳与编译器特征识别
LordPE 1.4 PE文件头解析
CFF Explorer 8.0 资源段分析

提示:所有工具建议存放在非系统盘目录,调试时以管理员身份运行

病毒样本

最低0.47元/天 解锁文章
game4
关注
OD学习笔记
心之所向,身之所往
06-08 4100
1、ODIDA是两个常用工具。OD是动态分析IDA是静态分析。 2、F2下断点,F3加载一个可执行程序。 3、Call *** 按F7可以进入该函数内部,Ctrl + F9运行至ret出,就可以返回程序了。 4、Alt + B打开断点编辑器,用于取消断点,del或者空格取消断点。
记录IDAOD使用方法
qq_41672971的博客
07-26 659
反编译工具练习
逆向软件的使用
weixin_61669837的博客
02-19 911
逆向软件的使用 IDA 交叉引用(cross reference) 特征库 OD 常见API soft-ice debug TD TC qv VC 编译 代码
IDA+OD双剑合璧=逆向无敌
liujiayu2的专栏
06-19 5121
标 题: 【原创】IDA+OD双剑合璧=逆向无敌 作 者: Tennn 时 间: 2015-12-12,22:25:19 链 接: http://bbs.pediy.com/showthread.php?t=206437 我这一周学是薛老师讲课, 大多挺深,我就列出一个典型的吧。  准备工具: ollydbg  ida   vs2012   ----------------
软件分析与破解思路分享
Reveone的博客
08-28 4232
软件的分析破解与平时做ctf中的逆向题是有一定的差别的。最直观的区别体现在两者的大小。一个逆向题一般只有一两兆大小,而一般的软件动辄就是十几或几十兆大小。这无疑增大了分析的困难度,这篇文章将就我最近做过的一些软件的破解进行总结,文章仅供技术学习。
03 常见补丁工具的使用
Tandy12356_的博客
08-01 888
本文主要讲述了如何隐藏字符串、易语言多线程的特征提取、常见的补丁工具的使用
[re入门]IDAOD的基本使用(持续更新)
网络安全知识分享
03-03 9569
工具的使用第一章 IDA使用介绍简介基本使用:1.静态分析功能显示设置代码定位:栈帧分析结构体分析:程序Patch:程序与代码的转换:IDA的动态调试IDA安装插件IDA其他常用的一些插件IDA脚本功能第二章 OD的简介OD的窗口常用快捷键断点功能 自己的记性不太好,所以做了一个笔记,总结了一下逆向常用工具IDAOD的使用,用来平时的翻阅,也希望可以帮助到大家。 第一章 IDA使用介绍 简介 空格:切换代码窗口的显示方式(在图形窗口与文本窗口之间切换) 窗口介绍:“View”–“open subview
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDAOD逆向分析(上)
热门推荐
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDAOD作为逆向分析的“倚天剑“屠龙刀”,学好它们的基本用法至关重要。
OD+IDA动静结合反编译C++
qq_20031585的博客
04-27 9726
通过OD动态调试,内存查到定位程序代码,IDA静态反编译出来C/C++伪代码,本文完整走一遍逆向反编译的流程。
[网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析IDAOD逆向
杨秀璋的专栏
04-27 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了宏病毒相关知识,包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDAOD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
CrackMe019:IDAOD联合调试
可乐松子的博客
05-24 823
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) CrackMe019:IDAOD联合调试 CrackMe018CrackMe019是一个作者编写,都是VC6.0的程序 1.程序基本信息 需要输入正确的用户名密码才可以破解程序,有错误提示就很容找到处理逻辑的主要函数(如果不明白,可以参考CrackMe001) 2.IDA分析 使用test12
idaod载入exe区别
陈刚编程心得与知识集
01-21 3244
od是把整个空间都加载起来,而ida只是加载了exe文件,它所关联的dll并没有加载,于是它只分析了exe   我现在有一个exe,它有多个dll    而每一个dll都有调试信息   如果我单个加载dll,我能看到这些调试信息,可我没办法在同一个idb里看,有没什么办法实现在同一个idb里看我想要的分析的模块?
IDA逆向技巧之美
游戏开发、游戏引擎开发、逆向破解爱好者
10-06 3508
IDA逆向分析水平就是一个逆向工程师的水平; 7.1 IDAOD的联合使用 一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。 需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下: Edit ---> Segment ----- Rebase Program : 设置基地址; 在WINdbg中基地址在“符号”中查看;在OD中基...
《C++反汇编与逆向分析技术揭秘》阅读体会——第一章 熟悉工作环境相关工具
weixin_45325928的博客
11-25 423
《C++反汇编与逆向分析技术揭秘》阅读体会——第一章 熟悉工作环境相关工具 这是我第一次写博客,写得不好大家多多包涵。在这里插入代码片 由于还没学习C++,只看到了全书的第8章,但也对全书有了一个大概的了解,现在想梳理一下目前为止看到的内容,在这次梳理中,我读懂了很多第一次没看懂的地方。整体来看,这本书讲解非常全面,很多在前面的代码中遇到的疑惑在后面的内容中基本都会讲到,而且C++代码与汇编代码...
OD破解IDA安装文件
qq_37768247的博客
01-16 2287
破解版ida提取地址。 完整版在知乎,有视频文件(被谐了)。 https://zhuanlan.zhihu.com/p/54989609 链接: https://pan.baidu.com/s/1TtTV-5YB8HwcXsEZ1sZSfg 提取码: f1qr 复制这段内容后打开百度网盘手机App,操作更方便哦     相信有很多同行在学习编程的时候,总都会用到odida,win...
第一次使用ODIDA动静结合找出软件的注册算法
liujiayu2的专栏
06-19 4704
大牛路过的时候除了拍砖外,还请多多指点 目标软件:PDF2TXT v3.2 下载地址:http://www.verypdf.com/app/pdf-to-txt-converter/index.html 1. OD载入目标软件后运行,弹出注册框 注册提示框.png (16.21 KB, 下载次数: 1) 下载件  保存到相册 2015-3-20 11:52 上传
逆向大法好-----实战中的IDAOD一把梭
蚁景网安学院
05-31 898
0X01一直对D盾检测账号克隆的功能感到好奇,终于跟着老师傅的教程手把手学会了怎么用IDAOD配合去逆向分析。D盾有一项功能是账号克隆:通过StudyPe查看,使用了NetUserEn...
CentOs7网卡配置文件修改无效
最新发布
06-28
代码转载自:https://pan.quark.cn/s/8ce4326d996e 对于在 CentOS 7 系统中修改网卡配置文件后无法使设置生效的情况,经过实践验证,可以通过使用 nmcli 命令来进行调整。完成修改之后,需要重新启动虚拟机以使更改生效,这样操作流程即告完成。如果设置仍然无法生效,则表明虚拟机在启动过程中所获取的 IP 地址配置并非针对 eth0,此时可以对其它网卡的配置文件进行修改或将其移除。在 CentOS 7 系统中,网络配置的管理机制与早期版本存在差异,主要体现为采用了 Network Manager 服务来负责网络接口的管理。在某些情形下,尽管修改了 `/etc/sysconfig/network-scripts` 目录下的 `ifcfg-eth0` 文件,但网络配置却未能即时生效。此类问题的发生通常源于 CentOS 7 采用了不同于以往的配置读取方法。接下来将具体阐述如何借助 nmcli 命令来处理这一挑战。 以 root 用户身份登录系统并打开终端界面。nmcli 是 Network Manager 提供的命令行界面工具,它支持在命令行环境下执行网络连接的建立、编辑、查询及管理任务。针对修改 eth0 网卡配置的需求,可以遵循以下步骤进行操作: 1. 导航至 `/etc/sysconfig/network-scripts` 目录: ``` cd /etc/sysconfig/network-scripts ``` 2. 检查该目录内是否存在 `ifcfg-eth0.bak` 文件,该备份文件可能是先前调整配置时遗留下来的,若存在可能造成冲突。若发现该文件,可以选择将其删除: ``` [root@localhost netw...
网络管理教程入门至精通软件.txt
06-28
代码转载自:https://pan.quark.cn/s/46fd08fb879c 网管教程 从入门到精通软件篇 ★一。★详尽的xp修复控制台指令及其应用!!! 放入xp(2000)的光盘,安装时选择R,执行修复! Windows XP(涵盖 Windows 2000)的控制台指令是在系统遭遇某些意外状况时的一种极具效用的诊断、检测以及恢复系统功能的工具。笔者确实一直期望能够将这方面的指令进行归纳,此次由老范辛苦整理了这份极具价值的秘籍。 Bootcfg bootcfg 命令用于启动配置与故障恢复(对大多数计算机而言,即 boot.ini 文件)。 带有特定参数的 bootcfg 命令仅在运用故障恢复控制台时方可使用。能够在命令行界面下运用带有不同参数的 bootcfg 命令。 用法: bootcfg /default 设定默认引导选项。 bootcfg /add 向引导清单中增添 Windows 安装。 bootcfg /rebuild 重复整个 Windows 安装流程并让用户选择需添加的项目。 注意:运用 bootcfg /rebuild 之前,应先借助 bootcfg /copy 命令备份 boot.ini 文件。 bootcfg /scan 探查用于 Windows 安装的全部磁盘并展示结果。 注意:这些结果被静态存储,并用于当前会话。若在当前会话期间磁盘配置发生变动,为获取更新的探查结果,必须先重启计算机,然后再次探查磁盘。 bootcfg /list 列示引导清单中已有的项目。 bootcfg /disableredirect 在启动引导程序中禁用重定向。 bootcfg /redirect [ PortBaudRrate] |[ useBio...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值