首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
求助问答
发新帖
0
0
未解决
[讨论]情景:分析未知来源的DLL的最便捷的方法
发表于: 2018-12-6 10:10
1563
未解决
[讨论]情景:分析未知来源的DLL的最便捷的方法
shixiaoyi
2018-12-6 10:10
1563
最近遇到一个问题
问题:已知未知来源的DLL 注入explorer.exe进行了 高危操作,要去分析这个模块具体做了哪些操作,最便捷办法是什么?
第一种方法:OD或者x32dbg去附加explorer.exe 跳到模块的地址空间 ctrl+n在关心的API和字符串上下段。最后利用HEX特征字符(冲定位字节排除)在IDA中定位到。然后F5或者 查看流程图分析。
第二种:上来直接拖进IDA,查找关心的字符串和API 看调用处的xreference(交叉引用)然后提取HEX特征串在OD或者x32dbg中定位跟踪调试。
但是朋友好像不太认可我的做法(确实大海捞针全靠运气碰)。大家有什么更便捷的办法吗?求思路,或者说IDA中有更便捷的姿势我没用到吗?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
2
)
hzqst
雪 币:
12848
活跃值:
(9108)
能力值:
( LV9,RANK:280 )
在线值:
发帖
47
回帖
1793
粉丝
563
关注
私信
hzqst
3
2
楼
直接上虚拟沙盒,api trace安排明白
2018-12-6 13:40
2
shixiaoyi
雪 币:
14
活跃值:
(10)
能力值:
( LV3,RANK:30 )
在线值:
发帖
4
回帖
14
粉丝
0
关注
私信
shixiaoyi
3
楼
嗯 我去看看
2018-12-6 14:14
1
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
shixiaoyi
4
发帖
14
回帖
30
RANK
关注
私信
他的文章
[讨论]情景:分析未知来源的DLL的最便捷的方法
1564
经典 小七vip-2013源码免杀 无加密版(官方原版)
2342
[讨论]到底有没有空去学习
4438
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部