SCDBG惡意代碼分析利器

scdbg是一款多平臺開源的Shellcode模擬運行、分析工具。其基于libemulibrary搭建的虛擬環(huán)境，通過模擬32位處理器、內存和基本Windows API運行環(huán)境來虛擬執(zhí)行Shellcode以分析其行為。有了虛擬執(zhí)行媽媽再也不用擔心我的電腦中病毒了。

基本原理

眾所周知，shellcode為了實現特定的功能必須通過調用系統(tǒng)API來完成－不論先前怎怎么變形怎么加密最后都會調用系統(tǒng)API。scdbg就是通過 模擬執(zhí)行以及hook多達200多個API來探測shellcode的行為。當然比如創(chuàng)建文件和訪問網絡這些危險的API并沒有真正的在本機執(zhí)行，而是通 過傳回虛假的返回值來欺騙shellcode讓其平穩(wěn)運行。

直接命令行輸入scdbg.exe example.sc 來看看輸出：

其中example.sc文件就是以二進制形式保存的Shellcode,我們可以看到這段shellcode調用了兩次較關鍵的函數 －CreateProcessA，第一次調用tftp.exe程序下載winapi32.exe,第二次準備執(zhí)行之。很典型的下載并執(zhí)行行為。有了 scdbg我們就不必花很多時間在搭建測試環(huán)境、解碼shellcode、調試理解各種分枝跳轉、擔心機器是否中招。。。。。。簡單明了。

scdbg和通常的命令行工具一樣，有著眾多參數選項，這里只做最基本的演示，就不一一列舉。想必大家都有在命令行下痛苦的經歷，命令行的歷史就是我等小菜的血淚史，還好scdbg有GUI圖形界面版：

指定偏移，自定參數一目了然。