[分享] 使用火绒辅助逆向分析

2020-7-17 12:48 11653

[分享] 使用火绒辅助逆向分析

KingSelyF

2020-7-17 12:48

11653

使用火绒辅助逆向分析

作者：御风(KingSelyF)

日期：2020年7月17日

描述：逆向过程中借助火绒剑可以更方便地进行定位

使用火绒辅助逆向分析
前言
启动
分析
过滤进程
开启监控
分析处理
几个问题

前言

这个程序功能我也是无意间发现的，用下来还挺好用，安利一下

启动

主界面 - 安全工具 - 高级工具 - 火绒剑

分析

过滤进程

系统 - 过滤 - 进程过滤 - 添加

弹出日志过滤窗口

加入要分析的 EXE 的完整路径，经测试文件路径左右不能带引号

过滤动作可以根据自己的需要选择

开启监控

然后启动进程，就可以看到日志哗哗地出来

分析处理

选中一个记录，右键，可以看到菜单，红色方框里的随便选一个进去

切换到调用栈，可以看到调用堆栈（有一些又抓不到，比如网络操作，不知道什么原因）

双击列表项，可以进去查看汇编代码

搭配 OD，CE，IDA 操作，简直是爽得不行

几个问题

不过有几个问题需要提一下：

部分操作拦截有问题，如网络操作无法看到 TCP / HTTP 数据
部分操作拦截看不到调用栈
调用栈列表不能复制
汇编代码窗口不能复制

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

收藏・17

点赞・1

打赏

最新回复 (15)
KingSelyF 雪币： 1910 活跃值： (3322) 能力值： ( LV6，RANK：81 ) 在线值：发帖 7 回帖 219 粉丝 44 关注私信	KingSelyF 1 2020-7-17 12:52 2 楼 0 @火绒实验室给广告费
ugvjewxf 雪币： 615 活跃值： (445) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 344 粉丝 10 关注私信	ugvjewxf 2020-7-17 13:57 3 楼 0 还能看汇编，看HEX，不错不错
TkBinary 雪币： 2420 活跃值： (9245) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2020-7-17 15:06 4 楼 1 Process Moniter ProcessExplorer 你值得拥有
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-7-18 18:43 5 楼 0 断句：使用火绒辅助""逆向分析吓得我以为火绒又被干了
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-7-18 19:21 6 楼 0 killleer 断句：使用火绒辅助""逆向分析[em_85]吓得我以为火绒又被干了惊！某辅助使用火绒读写！
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-7-18 23:05 7 楼 0 hzqst 惊！某辅助使用火绒读写！ WDNMD，就是因为这样瞎搞火绒论坛那边总是有上报用火绒被ac ban了号的话说有没有卡巴或者ESET被抓的？我看之前有人总是上传ESET和趋势科技的驱动。。。最后于 2020-7-18 23:18 被killleer编辑，原因：
昵称好麻烦雪币： 4083 活跃值： (3753) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 142 粉丝 59 关注私信	昵称好麻烦 2020-7-21 10:08 8 楼 0 TkBinary Process Moniter ProcessExplorer 你值得拥有 Process Monitor不能显示反汇编和十六进制
浅笑不语雪币： 19786 活跃值： (4862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 2 关注私信	浅笑不语 2020-7-22 06:59 9 楼 0 秀的一批
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 524 粉丝 1 关注私信	靴子 2020-7-22 08:48 10 楼 0 666
乐活雪币： 2710 活跃值： (1666) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	乐活 2020-7-22 09:14 11 楼 0 666了
渣男雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	渣男 2020-7-23 04:22 12 楼 0 要是直接搞成能改汇编代码，hex，能保存，估计会更专业，用的人更多！
ninebell 雪币： 32118 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2020-7-23 06:12 13 楼 0 火绒家的亲亲，鉴定结束。
初学小潘雪币： 1195 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 3 关注私信	初学小潘 2020-7-23 08:28 14 楼 0 不错的工具，排查小问题挺好
红金龙e晓楼雪币： 940 活跃值： (1053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 76 粉丝 7 关注私信	红金龙e晓楼 2020-8-4 00:19 15 楼 0 看不到调用栈, 是目标进程关了吧至于不能复制,人本来就没想着你要这么用啊.
同志们好啊雪币： 453 活跃值： (129) 能力值： (RANK：0 ) 在线值：发帖 3 回帖 171 粉丝 1 关注私信	同志们好啊 2021-3-23 13:47 16 楼 0 火绒,这个玩意儿,可以有.反正很安静.万一,有啥坏东西,至少也有点防护.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

KingSelyF

发帖

219

回帖

RANK

关注

私信

他的文章

[原创] 两行代码搞定某思维导图软件

[原创] 某 MongoDB GUI 工具逆向记录

[分享] 使用火绒辅助逆向分析

[原创]PC Wechat 开启调试

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
KingSelyF 雪币： 1910 活跃值： (3322) 能力值： ( LV6，RANK：81 ) 在线值：发帖 7 回帖 219 粉丝 44 关注私信	KingSelyF 1 2020-7-17 12:52 2 楼 0 @火绒实验室给广告费
ugvjewxf 雪币： 615 活跃值： (445) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 344 粉丝 10 关注私信	ugvjewxf 2020-7-17 13:57 3 楼 0 还能看汇编，看HEX，不错不错
TkBinary 雪币： 2420 活跃值： (9245) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2020-7-17 15:06 4 楼 1 Process Moniter ProcessExplorer 你值得拥有
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-7-18 18:43 5 楼 0 断句：使用火绒辅助""逆向分析吓得我以为火绒又被干了
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2020-7-18 19:21 6 楼 0 killleer 断句：使用火绒辅助""逆向分析[em_85]吓得我以为火绒又被干了惊！某辅助使用火绒读写！
killleer 雪币： 1556 活跃值： (2107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-7-18 23:05 7 楼 0 hzqst 惊！某辅助使用火绒读写！ WDNMD，就是因为这样瞎搞火绒论坛那边总是有上报用火绒被ac ban了号的话说有没有卡巴或者ESET被抓的？我看之前有人总是上传ESET和趋势科技的驱动。。。最后于 2020-7-18 23:18 被killleer编辑，原因：
昵称好麻烦雪币： 4083 活跃值： (3753) 能力值： ( LV5，RANK：60 ) 在线值：发帖 17 回帖 142 粉丝 59 关注私信	昵称好麻烦 2020-7-21 10:08 8 楼 0 TkBinary Process Moniter ProcessExplorer 你值得拥有 Process Monitor不能显示反汇编和十六进制
浅笑不语雪币： 19786 活跃值： (4862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 114 粉丝 2 关注私信	浅笑不语 2020-7-22 06:59 9 楼 0 秀的一批
靴子雪币： 22 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 524 粉丝 1 关注私信	靴子 2020-7-22 08:48 10 楼 0 666
乐活雪币： 2710 活跃值： (1666) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 1 关注私信	乐活 2020-7-22 09:14 11 楼 0 666了
渣男雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	渣男 2020-7-23 04:22 12 楼 0 要是直接搞成能改汇编代码，hex，能保存，估计会更专业，用的人更多！
ninebell 雪币： 32118 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2020-7-23 06:12 13 楼 0 火绒家的亲亲，鉴定结束。
初学小潘雪币： 1195 活跃值： (1125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 3 关注私信	初学小潘 2020-7-23 08:28 14 楼 0 不错的工具，排查小问题挺好
红金龙e晓楼雪币： 940 活跃值： (1053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 76 粉丝 7 关注私信	红金龙e晓楼 2020-8-4 00:19 15 楼 0 看不到调用栈, 是目标进程关了吧至于不能复制,人本来就没想着你要这么用啊.
同志们好啊雪币： 453 活跃值： (129) 能力值： (RANK：0 ) 在线值：发帖 3 回帖 171 粉丝 1 关注私信	同志们好啊 2021-3-23 13:47 16 楼 0 火绒,这个玩意儿,可以有.反正很安静.万一,有啥坏东西,至少也有点防护.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复