首页
社区
课程
招聘
[求助]各位病毒分析的大大们在od遇到未知的函数时会怎么快速分析判断它?
发表于: 2020-3-19 17:17 2595

[求助]各位病毒分析的大大们在od遇到未知的函数时会怎么快速分析判断它?

2020-3-19 17:17
2595
这些代码都是解密到堆空间里执行的,ida看不到伪代码。

。。。分析病毒应该不可能见到一个未知函数就F7进去逐条汇编分析吧?这样分析效率真的好低啊,我在思考应该怎样让分析效率高起来,然后多看些样本积累经验,现在如果每条汇编都详细看真的是比龟爬还慢啊QAQ,求各位大神不吝赐教。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 9934
活跃值: (2554)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
2
看函数被call的次数。
对比参数传入前和传入后的变化。
动态跟踪看寄存器值。
留意函数对外部的write操作。
至于“解密到堆空间里执行的”,dump下来看。再不济就自己写个程序丢进dbg,copy粘贴补丁。
2020-3-19 18:21
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
可以
2020-3-20 08:19
0
雪    币: 228
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
Lixinist 看函数被call的次数。 对比参数传入前和传入后的变化。 动态跟踪看寄存器值。 留意函数对外部的write操作。 至于“解密到堆空间里执行的”,dump下来看。再不济就自己写个程序丢进dbg, ...
动态跟踪是指od的Run跟踪功能吗?刚研究了下还挺好用的。
函数对外部的write操作?是要留意什么地方啊?对程序的行为监控?还是说对每一条数据操作的汇编指令都要多留意的意思?
dump说实话我就会脱下壳,这种堆空间里的代码我还不会。。不过打补丁的办法研究了一下午有点眉目了
2020-3-20 19:11
0
游客
登录 | 注册 方可回帖
返回
//