我一直遇到一个非常奇怪的问题,我已经尝试了所有方法来解决问题,但没有成功。
我正在学习恶意软件分析课程并跟随视频中培训师的调试过程,当我尝试在我的系统上调试相同的恶意软件时,我无法达到与他相同的断点。
我正在使用 x32Dbg 进行调试。
以下是问题的一些例子-
- API CreateProcessInternalW 在任何恶意软件样本中对他有效,但对我从未有效。
- API WriteProcessMemory 在任何恶意软件样本中对他有效,但从未对我有效。
- 在跨过 VirtualAlloc 断点时,对他来说 API 是 VirtualAllocEx,对我来说是 NtAllocateVirtualMemory
- 在跨过 VirtualProtect 断点时,对他来说 API 是 VirtualProtectEx,对我来说是 zwprotectvirtualmemory
以下是我尝试过的东西-
- 我已经确定导师和我运行的是同一个操作系统(Windows 10)
- 我尝试同时使用 64 位和 32 位版本的 Windows 10
- 我已确保我拥有与导师本人提供的恶意软件样本相同的恶意软件样本,并且我已经验证了恶意软件的哈希值。
- 我已经确定差异不是由恶意软件的反分析机制引起的
- 我通过分析恶意软件的行为验证了以上几点,发现恶意软件的执行方式和他一样
- 就像一个恶意软件案例,对于导师来说,恶意软件使用 CreateProcessInternalW API 调用 cmd.exe 并将文件放入目录,对我来说,API 没有命中,但文件仍然被丢弃。
我不确定是什么导致了 API 调用的差异并试图解决这个问题。
帮助将不胜感激。