首页
社区
课程
招聘
[求助]分析病毒的时候如何定位到关键位置?
发表于: 2012-5-24 17:42 5460

[求助]分析病毒的时候如何定位到关键位置?

2012-5-24 17:42
5460
菜鸟很崇拜论坛里面的老鸟, 想学病毒分析的技术, 但是无赖论坛里面入门的帖子实在是太少了, 总是一上来就开始贴分析的代码和注释, 没有讲思路的. 菜鸟我实在是一头雾水.

现在请问大家一个问题, 将一个病毒放汇编之后, 代码如此之多, 不可能从头到尾的分析吧, 那么如何定位到需要分析的地方呢?

还请大家多多指教, 感激涕零.

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 1121
活跃值: (717)
能力值: ( LV5,RANK:66 )
在线值:
发帖
回帖
粉丝
2
看病毒的行为,猜测其所用的API,然后OD下断或者IDA直接交叉引用API。另一种方法,根据病毒行为比如将自己复制到某某路径,那么取串后搜此路径,然后根据路径定位到相应的RVA,再然后就不用解释了吧~~
2012-5-24 18:01
0
雪    币: 534
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
ida直接交叉应用定位到相应的rva? 这有什么用? 不太明白.
2012-5-24 20:48
0
雪    币: 391
活跃值: (135)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
4
很多时候,从头到尾也是很正常的。就像你看别人的脱壳文章,总是这里下个断点,那里下个断点,这里patch一下就搞定,实际上别人在写文章之前已经把壳的整个代码流程分析得很清楚了。
2012-5-24 20:56
0
雪    币: 1121
活跃值: (717)
能力值: ( LV5,RANK:66 )
在线值:
发帖
回帖
粉丝
5
IDA的交叉引用,就是看下在哪里调用了此API。比如一个后门发送命令接受命令一般会用到send,recv吧。你在IDA里交叉引用recv,然后结合上下文,找几次就能找到后门在接受到黑客指令后是如何工作的了。
2012-5-25 00:06
0
雪    币: 125
活跃值: (161)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
嘿 从头到尾看吧,看的多了就快了。
2012-6-14 15:47
0
游客
登录 | 注册 方可回帖
返回
//