首页
社区
课程
招聘
[旧帖] 在IDA里调试个DLL,string窗口为空 0.00雪花
发表于: 2016-5-23 21:40 5449

[旧帖] 在IDA里调试个DLL,string窗口为空 0.00雪花

2016-5-23 21:40
5449
但是我很确定这个dll里是包含某个字符串的,请问有哪些可能?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 35
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
有可能串是动态生成的,尝试跟一跟
2016-5-24 21:09
0
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
但说可能性的话,我能想到的有这些:
1、字符串不是直接写出来的,而是通过给变量赋值,在栈中生成的。
2、字符串可能加过密,运行的时候解出来

楼主可以用调试器看看字符串地址位于什么位置,是在栈里,堆里还是数据区
2016-5-27 15:28
0
雪    币: 53
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
通过啥触发的?
2016-5-28 13:45
0
雪    币: 250
活跃值: (81)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
9
string窗口右键勾选unicode
2016-6-3 18:52
0
雪    币: 89
活跃值: (479)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
IDA 只能对一些连续存放的未加密字符串进行解析.  若代码中有混淆或对抗,那就不会被扫描到. 比如常见的恶意样本中的 MOV [eax+x], 0xXXXXXXXX 和 MOV [eax+x], 0xXX等使用立即数赋值的字符串就不能被IDA识别.
2016-6-3 21:52
0
游客
登录 | 注册 方可回帖
返回
//