Debuggen von Userland-Programm (voller Anti-Debug) durch VMWare

Question

Ich versuche derzeit, ein Programm unter Linux umzukehren, die eine Reihe von Anti-Debug-Tricks hat. Ich konnte einige von ihnen besiegen, aber ich kämpfe immer noch gegen die anderen. Leider, weil ich mittelmäßig bin, brauche ich mehr Zeit als erwartet. Wie auch immer, die Programme laufen ohne Probleme in einer VM (ich versuchte es mit VMWare und VBox), also überlegte ich mir, eine Ablaufverfolgung in der VM zu machen, dann eine Trace unter dem Debugger (gdb) und diff zu sehen Die Änderungen sind und finden die Anti-Debug-Tricks leichter.
Allerdings habe ich vor einiger Zeit ein Kernel-Debugging mit vmware gemacht, es war mehr oder weniger in Ordnung (ich erinnere mich an den Zugriff auf die lineare Adresse ...), aber hier ist es ein bisschen anders, denke ich.

Sehen Sie eine einfache Möglichkeit, dieses Benutzerland-Programm zu debuggen, ohne zu viel Schmerzen zu haben?

Answer 1

Ich würde vorschlagen, mit Ether, die ein Tool zur Überwachung der Ausführung eines Programms ist und auf dem XEN-Hypervisor basiert. Der ganze Sinn des Tools besteht darin, die Ausführung eines Programms zu verfolgen, ohne dass es erkennbar ist. Das erste, was zu tun ist, gehen Sie auf ihre Website und klicken Sie auf die Registerkarte Malware, dann senden Sie Ihre Binärdatei und sehen, ob ihre automatisierte Web-Schnittstelle kann es für Sie tun. Wenn dies fehlschlägt, können Sie es selbst installieren, was zwar mühsam, aber machbar ist und gute Ergebnisse bringen sollte, ich konnte es in der Vergangenheit installieren. Sie haben Anweisungen auf der Ether-Website, aber wenn Sie mich würde vorschlagen, Sie nehmen auch einen Blick auf diesen zusätzlichen Anweisungen von Offensive Computing

Ein paar anderen automatisierten Analyse-Site, die den Trick für Sie tun konnten: Eureka von SRI International und Renovo von bitblaze an der UC Berkeley