3.6 “白加黑”恶意程序分析（中） - 恶意程序分析与高级对抗技术

讨论 (2)

陆ziye 2019-3-12: 举报

老师，我们在用ida分析解密那里的时候，不是说那个绿色的粗线是循环吗，那需不需要经过多次解密呀

【讲师回复】确实需要多次运算，运算的次数保存在esi里面，每运算一次,esi的值就会减一，直至减到零为止。

2019-3-13

karis 2019-11-13: 举报

老师，这个如果用OD得到脱密数据，应该怎么调试，您说通过调试rundll32.exe不是很明白

【讲师回复】我们的system32目录中有一个叫做rundll32.exe的程序，可以作为dll文件的宿主程序来执行dll。可以把rundll32.exe加载到OD里面，然后在OD的参数选择中，设置好你想要调试的dll程序的完整路径，重新加载当前程序，那么dll就会被读取，开始处于调试状态了。这个时候我们可以在诸如VirtualAlloc这类的内存分配函数上面下断点，结合《去除混淆》课程的内容，就可以实现调试去混淆了。

2019-11-13

登录后即可评论

1045		100%		799
学生数		好评度		价格