首页
论坛
课程
招聘
《恶意程序分析与高级对抗技术》
3.6 “白加黑”恶意程序分析(中)

恶意程序分析与高级对抗技术

该课程为付费课程,如需学习完整课程请购买
10258

上一节 :
下一节 :
章节评论 (5)
陆ziye 2019-3-12
 举报
老师,我们在用ida分析解密那里的时候,不是说那个绿色的粗线是循环吗,那需不需要经过多次解密呀
【讲师回复】 确实需要多次运算,运算的次数保存在esi里面,每运算一次,esi的值就会减一,直至减到零为止。
2019-3-13
karis 2019-11-13
 举报
老师,这个如果用OD得到脱密数据,应该怎么调试,您说通过调试rundll32.exe不是很明白
【讲师回复】 我们的system32目录中有一个叫做rundll32.exe的程序,可以作为dll文件的宿主程序来执行dll。可以把rundll32.exe加载到OD里面,然后在OD的参数选择中,设置好你想要调试的dll程序的完整路径,重新加载当前程序,那么dll就会被读取,开始处于调试状态了。这个时候我们可以在诸如VirtualAlloc这类的内存分配函数上面下断点,结合《去除混淆》课程的内容,就可以实现调试去混淆了。
2019-11-13
绥术 2021-1-30
 举报
老师,我的ida打开HD_Comm.dll后查找字符串,并找到字符串相应位置。之后看到的字符串是一个个分开的。如“//config.dat”分为了‘/’  ‘c’  ,'o'  ,‘n’  ,'f'  ,'i'  ,'g',  '.'  ,'d','a','t'      。之后如果单纯的用快捷键A将其转换为string,也是没法交叉引用的。会显示“There  are  no  xrefs”,没法通过交叉引用找到调用的代码在哪。我不知道在网上如何搜索这个问题。请问这种情况该怎么解决呢?
【讲师回复】 有没有可能是你选错了,以我文章中的截图为例,你需要选择“aConfig_dat”之后,再使用交叉引用的。或者直接选择这个字符所存储的内存区域的首地址。
2021-1-30
绥术 2021-1-30
 举报
接老师的回复。我是使用的HD_Comm.dll的原文件的脱壳后的文件。老师打开的是在程序运行后释放的文件脱壳后的文件。区别在这。
其中  “aConfig_dat”  的地址是一样的。但该地址上下存储的内容是不一样的。可这两个文件不是一样的吗?最终的问题还是前边的提问。
【讲师回复】 你的意思是你所使用的文件是你自己手动脱壳后的文件是吗?采用不同的脱壳方法所得到的文件,是会有一些区别的。
2021-1-30
绥术 2021-1-30
 举报
那么,如“//config.dat”分为了‘/’    ‘c’    ,'o'    ,‘n’    ,'f'    ,'i'    ,'g',    '.'    ,'d','a','t'            。之后如果单纯的用快捷键A将其转换为string,也是没法交叉引用的。会显示“There    are    no    xrefs”,没法通过交叉引用找到调用的代码在哪。这种问题老师有遇到过吗?不知道这种情况的交叉引用不能使用,能不能修复呢?
【讲师回复】 如果确认操作正确的话,那这里应该并不包含交叉引用的情况。
2021-1-30
域名:加速乐 | SSL证书:亚洲诚信 | 安全网易易盾| 同盾反欺诈| 服务器:绿盟科技
©2000 - 2021 看雪学院 / 沪ICP备16048531号-1 / 沪公网安备 31011502006611号