少数派
·
Ghidra 逆向工程实战:看看 macOS 恶意软件动了什么手脚
💡
原文中文,约10700字,阅读约需26分钟。
📝
内容提要
本文介绍了逆向工程和Ghidra工具,逆向工程是通过分析已编译的软件程序来了解其内部逻辑,Ghidra是一款由美国国家安全局开发的逆向工程工具。文章还介绍了一种伪装成DMG文件的恶意软件,通过执行恶意行为来危害用户的计算机。最后,作者使用Ghidra工具对恶意软件进行了逆向分析,揭示了其内部逻辑和恶意行为。
🎯
关键要点
- 逆向工程是通过分析已编译的软件程序来了解其内部逻辑。
- Ghidra是由美国国家安全局开发的逆向工程工具,开源且免费。
- 恶意软件伪装成DMG格式文件,用户点击后会被激活并执行恶意行为。
- 使用hdiutil attach命令可以挂载DMG文件,进入其内容。
- 通过file命令可以识别文件的架构,恶意软件包含x86_64和arm64两种架构。
- 使用lipo命令提取arm64架构的文件以进行分析。
- Ghidra工具用于逆向分析恶意软件,创建新项目并导入恶意软件文件。
- Ghidra提供多种视图窗口,帮助分析软件的结构和功能。
- 入口点函数是软件执行的起始点,分析其行为有助于理解软件逻辑。
- 恶意软件通过hex_decode函数解码恶意命令并执行。
- 恶意软件的核心行为是通过十六进制编码隐藏其真实意图。
- 恶意软件收集用户的系统信息、密码和浏览器数据,并将其发送到攻击者的服务器。
- 用户应保持警惕,避免点击不明链接或下载未知文件,以防恶意软件攻击。
➡️
