[求助]分析病毒的时候如何定位到关键位置?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
supertyj 雪币： 1121 活跃值： (717) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 2 楼看病毒的行为，猜测其所用的API，然后OD下断或者IDA直接交叉引用API。另一种方法，根据病毒行为比如将自己复制到某某路径，那么取串后搜此路径，然后根据路径定位到相应的RVA，再然后就不用解释了吧~~ 2012-5-24 18:01 0
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 3 楼 ida直接交叉应用定位到相应的rva? 这有什么用? 不太明白. 2012-5-24 20:48 0
CamelLu 雪币： 391 活跃值： (135) 能力值： ( LV2，RANK：140 ) 在线值：发帖 26 回帖 220 粉丝 0 关注私信	CamelLu 3 4 楼很多时候，从头到尾也是很正常的。就像你看别人的脱壳文章，总是这里下个断点，那里下个断点，这里patch一下就搞定，实际上别人在写文章之前已经把壳的整个代码流程分析得很清楚了。 2012-5-24 20:56 0
supertyj 雪币： 1121 活跃值： (717) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 5 楼 IDA的交叉引用，就是看下在哪里调用了此API。比如一个后门发送命令接受命令一般会用到send，recv吧。你在IDA里交叉引用recv，然后结合上下文，找几次就能找到后门在接受到黑客指令后是如何工作的了。 2012-5-25 00:06 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 6 楼嘿从头到尾看吧，看的多了就快了。 2012-6-14 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
supertyj 雪币： 1121 活跃值： (717) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 2 楼看病毒的行为，猜测其所用的API，然后OD下断或者IDA直接交叉引用API。另一种方法，根据病毒行为比如将自己复制到某某路径，那么取串后搜此路径，然后根据路径定位到相应的RVA，再然后就不用解释了吧~~ 2012-5-24 18:01 0
shuirh 雪币： 534 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 55 粉丝 0 关注私信	shuirh 3 楼 ida直接交叉应用定位到相应的rva? 这有什么用? 不太明白. 2012-5-24 20:48 0
CamelLu 雪币： 391 活跃值： (135) 能力值： ( LV2，RANK：140 ) 在线值：发帖 26 回帖 220 粉丝 0 关注私信	CamelLu 3 4 楼很多时候，从头到尾也是很正常的。就像你看别人的脱壳文章，总是这里下个断点，那里下个断点，这里patch一下就搞定，实际上别人在写文章之前已经把壳的整个代码流程分析得很清楚了。 2012-5-24 20:56 0
supertyj 雪币： 1121 活跃值： (717) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 5 楼 IDA的交叉引用，就是看下在哪里调用了此API。比如一个后门发送命令接受命令一般会用到send，recv吧。你在IDA里交叉引用recv，然后结合上下文，找几次就能找到后门在接受到黑客指令后是如何工作的了。 2012-5-25 00:06 0
zhangtaopy 雪币： 125 活跃值： (161) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 146 粉丝 0 关注私信	zhangtaopy 1 6 楼嘿从头到尾看吧，看的多了就快了。 2012-6-14 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复