摘要:
IDA是一个逆向好工具,特别是F5更是为逆向分析节省了大量的时间。 但是有时F5出现的伪C代码中的库函数IDA并没有自动识别出来。比如delphi写的程序,MFC程序等待 此时可以根据编译器,和连接器在IDA中设置签名库 以熊猫烧香病毒为例: 使用查壳工具查看是delphi程序(例子已脱壳) 放入I 阅读全文
posted @ 2022-10-09 14:50
牧牧小站
阅读(2087)
评论(0)
推荐(0)
摘要:
样本基础信息: MD5值:DB349B97C37D22F5EA1D1841E3C89EB4 SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32:9FBB1227 行为分析: ——行为分析 ——网络行为 ——进程行为 恶意代码分析: 查壳:无壳为V 阅读全文
posted @ 2022-10-08 19:52
牧牧小站
阅读(540)
评论(0)
推荐(0)
摘要:
使用OD进行调试子进程,当一个进程创建了子进程后OD则无法跟踪(进程创建后,极短时间内执行完毕,关闭进程。没时间附加)。 可以使用此方式。 在创建进程前停下,找到子进程可执行文件,将其放入OD修改其入口指令为死循环,保存下来,如一条跳到自身的jmp指令。 第一步:在创建进程时停下,此时文件已经被创建 阅读全文
posted @ 2022-09-22 00:57
牧牧小站
阅读(413)
评论(0)
推荐(0)
浙公网安备 33010602011771号