前言

​

环境搭建

Python环境

访问地址下载python 3.11.9版本。

下载地址：https://www.python.org/ftp/python/3.11.9/python-3.11.9-amd64.exe

下载好直接一键安装即可，这里是已经安装好了。所以显示这个界面

验证python是否安装成功

IDA Pro MCP

下载好IDA Pro9.0版本以上，并安装好

使用如下命令安装mcp

运行以下命令，将MCP插件安装到IDA Pro

Trae

访问下载Trae并安装好

下载地址:https://www.trae.cn/

输入命令查看config

然后在Trae的设置中找到MCP

把上面的config复制进去

然后创建智能体

并选中IDA Pro MCP

到此，已经基本配置好了。

分析过程

注意：在分析之前需要先脱壳，使用的FSG2.0的壳。这也是MCP目前的局限性

直接掏出脱壳工具进行一键脱壳

运行IDA并加载熊猫烧香病毒程序

注意：千万不要在物理机上误点击运行了，那么就难受了

在IDA插件功能里启动MCP，启动成功如下

Trae连接MCP

现在开始就是让MCP进行分析了

输入提示词：分析恶意程序的恶意行为

如下所示，提供输出熊猫烧香的行为操作

完整的恶意行为如下：

再输入提示词：输出进行每个恶意行为相关的函数以及地址

完整结果如下：从结果中可以看到不仅输出了进行恶意行为的函数以及地址，还给了交叉引用的函数。极大的提供了分析效率

恶意行为相关函数及地址映射

1持久化机制（Persistence）

2 传播机制（Propagation）

3 网络恶意行为（Network Activity）

4系统破坏（System Destruction）

5反杀毒软件（Anti-Antivirus）

6反分析技术（Anti-Analysis）

7文件操作（File Operations）

甚至能够协助获取到制作者遗留在病毒程序中的信息

具体函数分析

继续让MCP逐一分析各个函数。

sub_402DD8函数

提示词：提供sub_402DD8函数伪代码以及注释，说明

MCP反馈sub_402DD8 是一个 文件创建/打开函数 ，用于创建或打开文件，也可以获取标准输入/输出句柄。

- 文件创建 : 用于创建病毒副本、配置文件（如 autorun.inf ）或其他恶意文件

- 持久化 : 可能用于创建启动脚本或配置文件以实现自启动

- 传播 : 结合 autorun.inf 和 setup.exe 字符串，用于在USB驱动器上创建传播文件

- 日志记录 : 可能使用标准输出句柄记录病毒活动

进入IDA验证是否一致，可以看到基本一致。

再分析一下其他几个相对重要的函数

sub_40C5E0函数

sub_40C5E0 是一个 网络下载函数 ，用于从指定的URL下载文件内容到内存缓冲区。

执行流程如下:

sub_40CDEC函数

sub_40CDEC 是一个 系统破坏函数 ，用于执行破坏性系统命令，删除网络共享并可能进行其他系统破坏操作。

主要执行的命令是：cmd.exe /c net share admin$ /del /y

sub_406E44函数

sub_406E44 是一个 反杀毒软件函数 ，用于删除多种杀毒软件的服务和注册表启动项，使杀毒软件失效。

执行流程如下：

病毒程序运行流程

病毒程序的运行流程如下：

完整执行流程图如下：

值得注意的是IDA Pro MCP并不能很好的分析从内存中释放的恶意载荷，因此还需要人工去动态调试这一部分

Python条件断点与hook功能

目的：使程序在 rand返回值是16949时断下来，其他情况继续执行。让python脚本帮我们做。

导入脚本：

​

设置普通断点，在call rand()之后设置（此时能获取rand()函数的返回值）

[右键] --> [Edit Break ···]

[Condition] --> [···]

输入bp()，并选择语言为Python

运行样本程序，发现rax == 16949(0x4235)时断了下来

适用的情况：当达到条件时触发断点，然后执行脚本中的功能，然后继续运行程序。

总归还是一个很有用的技巧

‍

‍

IDA-Fork双进程调试法

fork的子进程特点：

●无法直接启动调试，只能附加。

●进程存在时间短，很可能执行完逻辑后就退出，开没开始附加进程就没了。

目的，想调试下面fork子进程的代码：

思路：

1将子进程的第一条指令patch为死循环

2循环处下断点，重新打开IDA附加子进程，恢复第一条patch后的指令，调试

步骤：

1fork调用处设置断点，断下来后，对子进程进行patch。

观察到第一条指令只是log输出，没什么用处。所以可以对<span class="ne-text">BL __android_log_print</span>指令进行patch:

patch后：（一个死循环，自己跳自己）

‍

2f9使程序运行起来，再主线程Detach掉（取消附加）

3 然后死循环处下断点，重新附加子进程（ 此时子进程由于死循环的关系，会一直存在 ）

4子进程会断在死循环处：

5 最后使用SetIP跳出死循环到需要调试的代码上，就可以与愉快的调试子进程了：

‍

‍

IDA编写脚本语法提示

日常逆向，肯定需要编写IDA脚本，在vscode进行编写，如果有提示，那就很方便了

vscode 安装插件 idacode

配置环境变量

然后就可以获得提示啦：

‍

‍

堆栈不平衡-报错修复技巧

// positive sp value has been detected, the output may be wrong!

打开IDA设置

‍

设置为0，就OK了

‍

‍

IDA Trace功能

‍

‍

‍

Trace 的粒度：

第一个是指令级别的trace，就是记录的是每条指令的指令。

第二个是基本块的trace，基本块的概念 ollvm 里面有，可以找下文档。

第三个是函数级别的trace，仅仅记录函数的调用。

运行然后卡在断点处时，这个选项就可以选了

‍

我们停止调试，打开 trace 窗口看看，打开菜单项 [Debugger] → [Tracing] → [Tracing Window] 查看 Trace 记录：

将这些数据导出，可以直接右键 export trace to text file，以文本模式导出来，这样可以直接用 python 处理，比较方便。

‍

‍

‍

‍

‍