[求助]逆向一个病毒驱动的问题，新手-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (6)
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 2 楼 1.extern int ( *dword_10B8C)(_DWORD, _DWORD, _DWORD, _DWORD); extern int dword_10B94; 说明这两个均来自外部模块,一个是函数指针,一个是变量,在这里将IDA的反汇编界面向上滚动,可以看到来自哪个模块. 2. 是加4之后再转换成指针,然后再取内容. 2011-9-11 19:32 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼像这这一句 extern int dword_10B94; 从后面的代码里看像是全局变量啊 dword_10B90 = (int ( *)(DWORD, DWORD))sub_10330(v8, v9, v10); 这一句V8,V9,V10函数里面只有一个定义，没有初始化。。 IDA还是看不出来是外部哪个函数 2011-9-18 20:33 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 4 楼不想开新帖子了，逆向一个驱动，用IDA查看导入表如下：入口函数：几乎完全看不懂。。。。只有几个红色部分结合WINDBG查看内存看到是字符串上传的附件： 1.JPG （28.90kb，171次下载） 2.JPG （42.29kb，171次下载） 2012-2-7 10:11 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 1 关注私信	tydef 5 楼红色部分应该是函数 2012-2-8 15:10 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 6 楼是不是因为没下载ntoskrnl的符号表 2012-2-9 13:22 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼符号表已经下载了。。我在Winhex里面搜索红色部分，将地址改为IDA相对地址0x00400000的偏移地址，但是后来实在麻烦，又不会IDA脚本，暂时先停下了，貌似是极虎病毒的驱动 2012-3-28 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
thinkSJ 雪币： 196 活跃值： (135) 能力值： ( LV10，RANK：170 ) 在线值：发帖 9 回帖 611 粉丝 1 关注私信	thinkSJ 4 2 楼 1.extern int ( *dword_10B8C)(_DWORD, _DWORD, _DWORD, _DWORD); extern int dword_10B94; 说明这两个均来自外部模块,一个是函数指针,一个是变量,在这里将IDA的反汇编界面向上滚动,可以看到来自哪个模块. 2. 是加4之后再转换成指针,然后再取内容. 2011-9-11 19:32 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼像这这一句 extern int dword_10B94; 从后面的代码里看像是全局变量啊 dword_10B90 = (int ( *)(DWORD, DWORD))sub_10330(v8, v9, v10); 这一句V8,V9,V10函数里面只有一个定义，没有初始化。。 IDA还是看不出来是外部哪个函数 2011-9-18 20:33 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 4 楼不想开新帖子了，逆向一个驱动，用IDA查看导入表如下：入口函数：几乎完全看不懂。。。。只有几个红色部分结合WINDBG查看内存看到是字符串上传的附件： 1.JPG （28.90kb，171次下载） 2.JPG （42.29kb，171次下载） 2012-2-7 10:11 0
tydef 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 202 粉丝 1 关注私信	tydef 5 楼红色部分应该是函数 2012-2-8 15:10 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 6 楼是不是因为没下载ntoskrnl的符号表 2012-2-9 13:22 0
futosky 雪币： 863 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 7 楼符号表已经下载了。。我在Winhex里面搜索红色部分，将地址改为IDA相对地址0x00400000的偏移地址，但是后来实在麻烦，又不会IDA脚本，暂时先停下了，貌似是极虎病毒的驱动 2012-3-28 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复