[分享] 使用火绒辅助逆向分析

发表于: 2020-7-17 12:48 12337

[分享] 使用火绒辅助逆向分析

KingSelyF

2020-7-17 12:48

12337

使用火绒辅助逆向分析

作者：御风(KingSelyF)

日期：2020年7月17日

描述：逆向过程中借助火绒剑可以更方便地进行定位

使用火绒辅助逆向分析
前言
启动
分析
过滤进程
开启监控
分析处理
几个问题

前言

这个程序功能我也是无意间发现的，用下来还挺好用，安利一下

启动

主界面 - 安全工具 - 高级工具 - 火绒剑

分析

过滤进程

系统 - 过滤 - 进程过滤 - 添加

弹出日志过滤窗口

加入要分析的 EXE 的完整路径，经测试文件路径左右不能带引号

过滤动作可以根据自己的需要选择

开启监控

然后启动进程，就可以看到日志哗哗地出来

分析处理

选中一个记录，右键，可以看到菜单，红色方框里的随便选一个进去

切换到调用栈，可以看到调用堆栈（有一些又抓不到，比如网络操作，不知道什么原因）

双击列表项，可以进去查看汇编代码

搭配 OD，CE，IDA 操作，简直是爽得不行

几个问题

不过有几个问题需要提一下：

部分操作拦截有问题，如网络操作无法看到 TCP / HTTP 数据
部分操作拦截看不到调用栈
调用栈列表不能复制
汇编代码窗口不能复制

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・17

免费・1

支持

最新回复 (15)
KingSelyF 雪币： 2246 活跃值： (3773) 能力值： ( LV6，RANK：81 ) 在线值：发帖 10 回帖 235 粉丝 45 关注私信	KingSelyF 1 2 楼 @火绒实验室给广告费 2020-7-17 12:52 0
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 3 楼还能看汇编，看HEX，不错不错 2020-7-17 13:57 0
TkBinary 雪币： 844 活跃值： (9816) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 210 关注私信	TkBinary 5 4 楼 Process Moniter ProcessExplorer 你值得拥有 2020-7-17 15:06 1
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 5 楼断句：使用火绒辅助""逆向分析吓得我以为火绒又被干了 2020-7-18 18:43 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼 killleer 断句：使用火绒辅助""逆向分析[em_85]吓得我以为火绒又被干了惊！某辅助使用火绒读写！ 2020-7-18 19:21 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 7 楼 hzqst 惊！某辅助使用火绒读写！ WDNMD，就是因为这样瞎搞火绒论坛那边总是有上报用火绒被ac ban了号的话说有没有卡巴或者ESET被抓的？我看之前有人总是上传ESET和趋势科技的驱动。。。最后于 2020-7-18 23:18 被killleer编辑，原因： 2020-7-18 23:05 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 8 楼 TkBinary Process Moniter ProcessExplorer 你值得拥有 Process Monitor不能显示反汇编和十六进制 2020-7-21 10:08 0
浅笑不语雪币： 19950 活跃值： (4942) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 2 关注私信	浅笑不语 9 楼秀的一批 2020-7-22 06:59 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 10 楼 666 2020-7-22 08:48 0
乐活雪币： 2710 活跃值： (1848) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 1 关注私信	乐活 11 楼 666了 2020-7-22 09:14 0
渣男雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	渣男 12 楼要是直接搞成能改汇编代码，hex，能保存，估计会更专业，用的人更多！ 2020-7-23 04:22 0
ninebell 雪币： 35622 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 13 楼火绒家的亲亲，鉴定结束。 2020-7-23 06:12 0
初学小潘雪币： 1195 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 3 关注私信	初学小潘 14 楼不错的工具，排查小问题挺好 2020-7-23 08:28 0
红金龙e晓楼雪币： 940 活跃值： (1053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 77 粉丝 7 关注私信	红金龙e晓楼 15 楼看不到调用栈, 是目标进程关了吧至于不能复制,人本来就没想着你要这么用啊. 2020-8-4 00:19 0
同志们好啊雪币： 453 活跃值： (129) 能力值： (RANK：0 ) 在线值：发帖 3 回帖 164 粉丝 1 关注私信	同志们好啊 16 楼火绒,这个玩意儿,可以有.反正很安静.万一,有啥坏东西,至少也有点防护. 2021-3-23 13:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KingSelyF

发帖

235

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
KingSelyF 雪币： 2246 活跃值： (3773) 能力值： ( LV6，RANK：81 ) 在线值：发帖 10 回帖 235 粉丝 45 关注私信	KingSelyF 1 2 楼 @火绒实验室给广告费 2020-7-17 12:52 0
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 3 楼还能看汇编，看HEX，不错不错 2020-7-17 13:57 0
TkBinary 雪币： 844 活跃值： (9816) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 210 关注私信	TkBinary 5 4 楼 Process Moniter ProcessExplorer 你值得拥有 2020-7-17 15:06 1
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 5 楼断句：使用火绒辅助""逆向分析吓得我以为火绒又被干了 2020-7-18 18:43 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼 killleer 断句：使用火绒辅助""逆向分析[em_85]吓得我以为火绒又被干了惊！某辅助使用火绒读写！ 2020-7-18 19:21 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 7 楼 hzqst 惊！某辅助使用火绒读写！ WDNMD，就是因为这样瞎搞火绒论坛那边总是有上报用火绒被ac ban了号的话说有没有卡巴或者ESET被抓的？我看之前有人总是上传ESET和趋势科技的驱动。。。最后于 2020-7-18 23:18 被killleer编辑，原因： 2020-7-18 23:05 0
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 8 楼 TkBinary Process Moniter ProcessExplorer 你值得拥有 Process Monitor不能显示反汇编和十六进制 2020-7-21 10:08 0
浅笑不语雪币： 19950 活跃值： (4942) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 113 粉丝 2 关注私信	浅笑不语 9 楼秀的一批 2020-7-22 06:59 0
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 10 楼 666 2020-7-22 08:48 0
乐活雪币： 2710 活跃值： (1848) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 24 粉丝 1 关注私信	乐活 11 楼 666了 2020-7-22 09:14 0
渣男雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	渣男 12 楼要是直接搞成能改汇编代码，hex，能保存，估计会更专业，用的人更多！ 2020-7-23 04:22 0
ninebell 雪币： 35622 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 13 楼火绒家的亲亲，鉴定结束。 2020-7-23 06:12 0
初学小潘雪币： 1195 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 3 关注私信	初学小潘 14 楼不错的工具，排查小问题挺好 2020-7-23 08:28 0
红金龙e晓楼雪币： 940 活跃值： (1053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 77 粉丝 7 关注私信	红金龙e晓楼 15 楼看不到调用栈, 是目标进程关了吧至于不能复制,人本来就没想着你要这么用啊. 2020-8-4 00:19 0
同志们好啊雪币： 453 活跃值： (129) 能力值： (RANK：0 ) 在线值：发帖 3 回帖 164 粉丝 1 关注私信	同志们好啊 16 楼火绒,这个玩意儿,可以有.反正很安静.万一,有啥坏东西,至少也有点防护. 2021-3-23 13:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复