首页
社区
课程
招聘
未解决 [讨论]情景:分析未知来源的DLL的最便捷的方法
发表于: 2018-12-6 10:10 1618

未解决 [讨论]情景:分析未知来源的DLL的最便捷的方法

2018-12-6 10:10
1618
最近遇到一个问题
问题:已知未知来源的DLL 注入explorer.exe进行了 高危操作,要去分析这个模块具体做了哪些操作,最便捷办法是什么?
     第一种方法:OD或者x32dbg去附加explorer.exe 跳到模块的地址空间 ctrl+n在关心的API和字符串上下段。最后利用HEX特征字符(冲定位字节排除)在IDA中定位到。然后F5或者 查看流程图分析。
      第二种:上来直接拖进IDA,查找关心的字符串和API 看调用处的xreference(交叉引用)然后提取HEX特征串在OD或者x32dbg中定位跟踪调试。

但是朋友好像不太认可我的做法(确实大海捞针全靠运气碰)。大家有什么更便捷的办法吗?求思路,或者说IDA中有更便捷的姿势我没用到吗?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2
直接上虚拟沙盒,api trace安排明白
2018-12-6 13:40
2
雪    币: 14
活跃值: (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
嗯 我去看看
2018-12-6 14:14
1
游客
登录 | 注册 方可回帖
返回
//