PeDoll - 恶意程序行为分析工具介绍
什么是PEDoll
PeDoll是一款基于inline Hook的程序行为分析软件,主要包括以下功能:
- 对关键API调用进行Hook生成报表,监视程序行为
- 运行时修改程序执行代码
- 程序的网络抓包,写入数据的Dump
- 软件实现的自旋锁断点,方便与OllyDbg联合调试
- 分析目标程序的内存,分析栈数据实现破解
PeDoll的组成原理
PeDoll主要面向逆向分析初学者或者是具有一定编程逆向基础的Cracker,旨在简化逆向分析工作,可以在一定程度上对一些具有反逆向功能的恶意程序(加壳,加花,反调试器)简化分析难度或实现自动化分析
PeDoll是基于简单脚本(命令)控制的行为分析软件,通过对不同的程序编写不同的脚本实现特定的分析,同时PeDoll是一款远程分析调试器,这也意味着在对恶意程序分析中控制端和调试端分开进行是被建议的
其运行原理如下所示:
PeDoll包含三个文件夹
- 常用脚本:包括一系列已经编写好的常用脚本,包括一些常用的对MBR勒索病毒,用户锁勒索病毒,易语言注册码破解,网络抓包分析,远程注入代码分析.....等常用脚本
- 控制器:在控制端执行的程序
- 调试机程序:需要拷贝到调试机或其他安全环境中执行的程序(可信程序可以直接在本机执行)
PS:其中 PE.dll
是 PEDoll
完成DLL注入的并执行 inline hook
的文件,PeDolls.exe
用于执行注入,执行可执行文件与控制端进行交互等操作,PeDolls.exe
可以在注入成功后关闭不影响调试。
怎么获取PeDoll
本站下载的为独家编译v1.6.1版本
完整开源代码可到此获取到:Github
其他说明
- PeDoll 只是简化逆向破解的一些流程,仅仅只是挂载脚本并不能让你学会破解
- pedoll logo源代码都为原作者原创,允许任意修改,但在其派生及二次开发版本请注明原作者的版权信息
- 编译环境为
VisualStudio 2010 + Qt 4.8.6 Framework