-
-
未解决
[讨论]情景:分析未知来源的DLL的最便捷的方法
-
发表于:
2018-12-6 10:10
1618
-
未解决 [讨论]情景:分析未知来源的DLL的最便捷的方法
最近遇到一个问题
问题:已知未知来源的DLL 注入explorer.exe进行了 高危操作,要去分析这个模块具体做了哪些操作,最便捷办法是什么?
第一种方法:OD或者x32dbg去附加explorer.exe 跳到模块的地址空间 ctrl+n在关心的API和字符串上下段。最后利用HEX特征字符(冲定位字节排除)在IDA中定位到。然后F5或者 查看流程图分析。
第二种:上来直接拖进IDA,查找关心的字符串和API 看调用处的xreference(交叉引用)然后提取HEX特征串在OD或者x32dbg中定位跟踪调试。
但是朋友好像不太认可我的做法(确实大海捞针全靠运气碰)。大家有什么更便捷的办法吗?求思路,或者说IDA中有更便捷的姿势我没用到吗?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!