首页
社区
课程
招聘
[旧帖] 在IDA里调试个DLL,string窗口为空 0.00雪花
发表于: 2016-5-23 21:40 5444

[旧帖] 在IDA里调试个DLL,string窗口为空 0.00雪花

2016-5-23 21:40
5444
但是我很确定这个dll里是包含某个字符串的,请问有哪些可能?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 35
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
有可能串是动态生成的,尝试跟一跟
2016-5-24 21:09
0
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
但说可能性的话,我能想到的有这些:
1、字符串不是直接写出来的,而是通过给变量赋值,在栈中生成的。
2、字符串可能加过密,运行的时候解出来

楼主可以用调试器看看字符串地址位于什么位置,是在栈里,堆里还是数据区
2016-5-27 15:28
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
通过啥触发的?
2016-5-28 13:45
0
雪    币: 250
活跃值: (81)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
9
string窗口右键勾选unicode
2016-6-3 18:52
0
雪    币: 89
活跃值: (479)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
IDA 只能对一些连续存放的未加密字符串进行解析.  若代码中有混淆或对抗,那就不会被扫描到. 比如常见的恶意样本中的 MOV [eax+x], 0xXXXXXXXX 和 MOV [eax+x], 0xXX等使用立即数赋值的字符串就不能被IDA识别.
2016-6-3 21:52
0
游客
登录 | 注册 方可回帖
返回
//