[求助]各位病毒分析的大大们在od遇到未知的函数时会怎么快速分析判断它？-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

最新回复 (3)
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 2 楼看函数被call的次数。对比参数传入前和传入后的变化。动态跟踪看寄存器值。留意函数对外部的write操作。至于“解密到堆空间里执行的”，dump下来看。再不济就自己写个程序丢进dbg，copy粘贴补丁。 2020-3-19 18:21 0
killpy 雪币： 83 活跃值： (1307) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 662 粉丝 49 关注私信	killpy 2 3 楼可以 2020-3-20 08:19 0
山森雪币： 228 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	山森 4 楼 Lixinist 看函数被call的次数。对比参数传入前和传入后的变化。动态跟踪看寄存器值。留意函数对外部的write操作。至于“解密到堆空间里执行的”，dump下来看。再不济就自己写个程序丢进dbg， ... 动态跟踪是指od的Run跟踪功能吗？刚研究了下还挺好用的。函数对外部的write操作？是要留意什么地方啊？对程序的行为监控？还是说对每一条数据操作的汇编指令都要多留意的意思？ dump说实话我就会脱下壳，这种堆空间里的代码我还不会。。不过打补丁的办法研究了一下午有点眉目了 2020-3-20 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
Lixinist 雪币： 9934 活跃值： (2554) 能力值： ( LV6，RANK：87 ) 在线值：发帖 13 回帖 350 粉丝 19 关注私信	Lixinist 1 2 楼看函数被call的次数。对比参数传入前和传入后的变化。动态跟踪看寄存器值。留意函数对外部的write操作。至于“解密到堆空间里执行的”，dump下来看。再不济就自己写个程序丢进dbg，copy粘贴补丁。 2020-3-19 18:21 0
killpy 雪币： 83 活跃值： (1307) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 662 粉丝 49 关注私信	killpy 2 3 楼可以 2020-3-20 08:19 0
山森雪币： 228 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	山森 4 楼 Lixinist 看函数被call的次数。对比参数传入前和传入后的变化。动态跟踪看寄存器值。留意函数对外部的write操作。至于“解密到堆空间里执行的”，dump下来看。再不济就自己写个程序丢进dbg， ... 动态跟踪是指od的Run跟踪功能吗？刚研究了下还挺好用的。函数对外部的write操作？是要留意什么地方啊？对程序的行为监控？还是说对每一条数据操作的汇编指令都要多留意的意思？ dump说实话我就会脱下壳，这种堆空间里的代码我还不会。。不过打补丁的办法研究了一下午有点眉目了 2020-3-20 19:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复