首页 > 软件下载 > 监测扫描 > 正文

病毒行为分析工具OllySafe

  • 下载积分:0     如何获取积分

  • 软件大小: 921.69 KB

  • 上传日期: 2015-04-12

  • 下载次数: 199

  • 软件分类: 监测扫描

  • 软件作者:     

  • 加入收藏夹

为鼓励上传资源,我们采用积分下载方式,希望您能发布更多更好的资源互相分享
1.上传软件或电子书,源码,资料等,审核后即获5积分;如发布时设了下载需积分,其他用户下载后你将获得相应积分
2.当您首次注册时,可以获送10个下载积分,供您下载资源和熟悉网站下载的使用
3.发现资源有误或其他问题,通过举报按钮反馈后我们将奖励积分
4.您可以在论坛通过发帖等方式获取论坛货币黑豆,然后点此兑换为下载积分
5.参加本站Vip技术培训可以在有效期内不限次数下载
6.您也直接购买所需积分(1元=10积分)或直接购买包年下载权限
7.我们会不定期举办各种活动,参加活动可以获取积分,请关注下载频道首页公告。

软件简介


一、What’s fucking this
病毒分析工具OllySafe其实就是MiniSafe的专业版,是一个专门为病毒分析员提供的OllyDbg插件,它可以对病毒操作文件、注册表、进程进行拦截分析,能够简化病毒分析难度,协助好病毒分析工作。
二、如何安装
解压安装包后把olly_hardware_breakpoint.dll、MiniSafe.exe、OllySafe.sys三个文件拷贝到OllyDbg的Plugin目录下即可完成安装,注意不要超过32个插件的上限了,最好在OllyDbg的安装目录下也拷贝一份。
三、使用说明
以壳和花指令都比较多的icesword为例。
用OllyDbg打开icesword,可以看到OllySafe自动运行了。

最小化OllySafe窗口。
按F9运行icesword。

首先可以看到icesword加载的部分DLL文件,先不管,点击是加载之。
然后可以拦截到icesword对注册表的操作,要写入/SystemRoot/System32/Drivers/IsDrv120.sys,先拦截下来看一下多,点击暂停。

再点击是先让其修改注册表。一般来说程序会停在Ntdll.dll模块中,要用ALT+F9返回到用户代码。
但由于Icesword是自己直接调用的Native Api,所以可以省去这一步了:)

就可以看到icesword操作注册表的相关代码。F9继续运行

进程IceSword_unpacked.ex试图加载驱动/Registry/Machine/System/CurrentControlSet/Services/IsDrv120
这次拦到的是驱动加载操作了。
点击暂停后返回用户代码,这次点否。

上下翻看,可以发现IceSword第一次加载驱动不成功后还会使用随机文件名加载驱动。
好了,如何使用暂时先说到这里。
四、注意事项
1、为了安全,OllySafe运行时禁止任何进程的创建。这主要是防止病毒通过Winexec创建不受OllySafe监控的恶意程序,所以你在调试时想运行的程序请在启动OllySafe之前运行。

解压密码:www.acehat.com
点击复制链接 与好友分享!回本站首页
您对本软件有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力
下载地址:

相关下载
图文推荐
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 中国黑帽--致力于做最好的IT技术学习网站