3.6 “白加黑”恶意程序分析（中） - 恶意程序分析与高级对抗技术 - Windows

陆ziye 2019-3-12: 举报

老师，我们在用ida分析解密那里的时候，不是说那个绿色的粗线是循环吗，那需不需要经过多次解密呀

【讲师回复】确实需要多次运算，运算的次数保存在esi里面，每运算一次,esi的值就会减一，直至减到零为止。

2019-3-13

karis 2019-11-13: 举报

老师，这个如果用OD得到脱密数据，应该怎么调试，您说通过调试rundll32.exe不是很明白

【讲师回复】我们的system32目录中有一个叫做rundll32.exe的程序，可以作为dll文件的宿主程序来执行dll。可以把rundll32.exe加载到OD里面，然后在OD的参数选择中，设置好你想要调试的dll程序的完整路径，重新加载当前程序，那么dll就会被读取，开始处于调试状态了。这个时候我们可以在诸如VirtualAlloc这类的内存分配函数上面下断点，结合《去除混淆》课程的内容，就可以实现调试去混淆了。

2019-11-13

绥术 2021-1-30: 举报

老师，我的ida打开HD_Comm.dll后查找字符串，并找到字符串相应位置。之后看到的字符串是一个个分开的。如“//config.dat”分为了‘/’ ‘c’ ,'o' ,‘n’ ,'f' ,'i' ,'g', '.' ,'d','a','t' 。之后如果单纯的用快捷键A将其转换为string，也是没法交叉引用的。会显示“There are no xrefs”，没法通过交叉引用找到调用的代码在哪。我不知道在网上如何搜索这个问题。请问这种情况该怎么解决呢？

【讲师回复】有没有可能是你选错了，以我文章中的截图为例，你需要选择“aConfig_dat”之后，再使用交叉引用的。或者直接选择这个字符所存储的内存区域的首地址。

2021-1-30

绥术 2021-1-30: 举报

接老师的回复。我是使用的HD_Comm.dll的原文件的脱壳后的文件。老师打开的是在程序运行后释放的文件脱壳后的文件。区别在这。
其中 “aConfig_dat” 的地址是一样的。但该地址上下存储的内容是不一样的。可这两个文件不是一样的吗？最终的问题还是前边的提问。

【讲师回复】你的意思是你所使用的文件是你自己手动脱壳后的文件是吗？采用不同的脱壳方法所得到的文件，是会有一些区别的。

2021-1-30

绥术 2021-1-30: 举报

那么，如“//config.dat”分为了‘/’ ‘c’ ,'o' ,‘n’ ,'f' ,'i' ,'g', '.' ,'d','a','t' 。之后如果单纯的用快捷键A将其转换为string，也是没法交叉引用的。会显示“There are no xrefs”，没法通过交叉引用找到调用的代码在哪。这种问题老师有遇到过吗？不知道这种情况的交叉引用不能使用，能不能修复呢？

【讲师回复】如果确认操作正确的话，那这里应该并不包含交叉引用的情况。

2021-1-30