首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
0
0
[求助]分析病毒的时候如何定位到关键位置?
发表于: 2012-5-24 17:42
5460
[求助]分析病毒的时候如何定位到关键位置?
shuirh
2012-5-24 17:42
5460
菜鸟很崇拜论坛里面的老鸟, 想学病毒分析的技术, 但是无赖论坛里面入门的帖子实在是太少了, 总是一上来就开始贴分析的代码和注释, 没有讲思路的. 菜鸟我实在是一头雾水.
现在请问大家一个问题, 将一个病毒放汇编之后, 代码如此之多, 不可能从头到尾的分析吧, 那么如何定位到需要分析的地方呢?
还请大家多多指教, 感激涕零.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
supertyj
雪 币:
1121
活跃值:
(717)
能力值:
( LV5,RANK:66 )
在线值:
发帖
3
回帖
241
粉丝
2
关注
私信
supertyj
1
2
楼
看病毒的行为,猜测其所用的API,然后OD下断或者IDA直接交叉引用API。另一种方法,根据病毒行为比如将自己复制到某某路径,那么取串后搜此路径,然后根据路径定位到相应的RVA,再然后就不用解释了吧~~
2012-5-24 18:01
0
shuirh
雪 币:
534
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
17
回帖
55
粉丝
0
关注
私信
shuirh
3
楼
ida直接交叉应用定位到相应的rva? 这有什么用? 不太明白.
2012-5-24 20:48
0
CamelLu
雪 币:
391
活跃值:
(135)
能力值:
( LV2,RANK:140 )
在线值:
发帖
26
回帖
220
粉丝
0
关注
私信
CamelLu
3
4
楼
很多时候,从头到尾也是很正常的。就像你看别人的脱壳文章,总是这里下个断点,那里下个断点,这里patch一下就搞定,实际上别人在写文章之前已经把壳的整个代码流程分析得很清楚了。
2012-5-24 20:56
0
supertyj
雪 币:
1121
活跃值:
(717)
能力值:
( LV5,RANK:66 )
在线值:
发帖
3
回帖
241
粉丝
2
关注
私信
supertyj
1
5
楼
IDA的交叉引用,就是看下在哪里调用了此API。比如一个后门发送命令接受命令一般会用到send,recv吧。你在IDA里交叉引用recv,然后结合上下文,找几次就能找到后门在接受到黑客指令后是如何工作的了。
2012-5-25 00:06
0
zhangtaopy
雪 币:
125
活跃值:
(161)
能力值:
( LV4,RANK:50 )
在线值:
发帖
4
回帖
146
粉丝
0
关注
私信
zhangtaopy
1
6
楼
嘿 从头到尾看吧,看的多了就快了。
2012-6-14 15:47
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
shuirh
17
发帖
55
回帖
10
RANK
关注
私信
他的文章
[求助]分析病毒的时候如何定位到关键位置?
5461
无心插柳柳成荫, 我该何去何从
10466
一个菜鸟很弱小的pe问题
5432
通过RVA计算数据的文件偏移的疑问
4453
成为病毒防治程序员应该学些什么?
5160
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部