IDA Pro MCP+Trae结合分析远古病毒熊猫烧香

前言

​

环境搭建

Python环境

访问地址下载python 3.11.9版本。

下载地址：https://www.python.org/ftp/python/3.11.9/python-3.11.9-amd64.exe

下载好直接一键安装即可，这里是已经安装好了。所以显示这个界面

验证python是否安装成功

IDA Pro MCP

下载好IDA Pro9.0版本以上，并安装好

使用如下命令安装mcp

运行以下命令，将MCP插件安装到IDA Pro

Trae

访问下载Trae并安装好

下载地址:https://www.trae.cn/

输入命令查看config

然后在Trae的设置中找到MCP

把上面的config复制进去

然后创建智能体

并选中IDA Pro MCP

到此，已经基本配置好了。

分析过程

注意：在分析之前需要先脱壳，使用的FSG2.0的壳。这也是MCP目前的局限性

直接掏出脱壳工具进行一键脱壳

运行IDA并加载熊猫烧香病毒程序

注意：千万不要在物理机上误点击运行了，那么就难受了

在IDA插件功能里启动MCP，启动成功如下

Trae连接MCP

现在开始就是让MCP进行分析了

输入提示词：分析恶意程序的恶意行为

如下所示，提供输出熊猫烧香的行为操作

完整的恶意行为如下：

再输入提示词：输出进行每个恶意行为相关的函数以及地址

完整结果如下：从结果中可以看到不仅输出了进行恶意行为的函数以及地址，还给了交叉引用的函数。极大的提供了分析效率

恶意行为相关函数及地址映射

1持久化机制（Persistence）

2 传播机制（Propagation）

3 网络恶意行为（Network Activity）

4系统破坏（System Destruction）

5反杀毒软件（Anti-Antivirus）

6反分析技术（Anti-Analysis）

7文件操作（File Operations）

甚至能够协助获取到制作者遗留在病毒程序中的信息

具体函数分析

继续让MCP逐一分析各个函数。

sub_402DD8函数

提示词：提供sub_402DD8函数伪代码以及注释，说明

MCP反馈sub_402DD8 是一个 文件创建/打开函数 ，用于创建或打开文件，也可以获取标准输入/输出句柄。

- 文件创建 : 用于创建病毒副本、配置文件（如 autorun.inf ）或其他恶意文件

- 持久化 : 可能用于创建启动脚本或配置文件以实现自启动

- 传播 : 结合 autorun.inf 和 setup.exe 字符串，用于在USB驱动器上创建传播文件

- 日志记录 : 可能使用标准输出句柄记录病毒活动

进入IDA验证是否一致，可以看到基本一致。

再分析一下其他几个相对重要的函数

sub_40C5E0函数

sub_40C5E0 是一个 网络下载函数 ，用于从指定的URL下载文件内容到内存缓冲区。

执行流程如下:

sub_40CDEC函数

sub_40CDEC 是一个 系统破坏函数 ，用于执行破坏性系统命令，删除网络共享并可能进行其他系统破坏操作。

主要执行的命令是：cmd.exe /c net share admin$ /del /y

sub_406E44函数

sub_406E44 是一个 反杀毒软件函数 ，用于删除多种杀毒软件的服务和注册表启动项，使杀毒软件失效。

执行流程如下：

病毒程序运行流程

病毒程序的运行流程如下：

完整执行流程图如下：

值得注意的是IDA Pro MCP并不能很好的分析从内存中释放的恶意载荷，因此还需要人工去动态调试这一部分