[求助]运行期间解密出来的算法，要怎么取出来？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 2 楼为什么ＩＤＡ不能分析？ 2008-3-20 18:13 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 3 楼很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 Enjoy it. 2008-3-20 18:30 0
马强雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	马强 4 楼跟下去把算法记录下来 2008-3-20 18:31 0
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 5 楼为什么ＩＤＡ不能分析？ //因为是运行期间生成的代码很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 Enjoy it. //你是说使用ida调试吗？怎么取消"Debugger Segment"属性？跟下去把算法记录下来 //一次性把代码跟下来？子函数太多太复杂几乎完成不了每重新跟一次指令会变化 2008-3-20 22:16 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 6 楼可以动态调试后，脚本保存二进制文件，再导入后分析。也可以用od运行到算法展开到内存后dump出来，给IDA分析。 2008-3-20 23:00 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 7 楼为什么ＩＤＡ不能分析？ //因为是运行期间生成的代码运行期的代码也可以分析有的程序为了anti，当然会每次都会变化虚拟内存内的文件装载基址，你得先找到分配内存的地方，使基址每次都固定下来。比如我见过有程序用随机数分配无用的内存，当然随后分配的内存的基址会变化。那么你可以将这个随机数固定成0x0（有前提的）。跟下去把算法记录下来 //一次性把代码跟下来？子函数太多太复杂几乎完成不了每重新跟一次指令会变化想继续分析，最关键的问题还是找清楚同一内存地址处的指令为什么会变化的原因。同一机器上，程序没有什么花样的话，一般不会有变化。很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 -> 很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节的数据、用户和程序自动分析的结果都保留在数据库idb中。 2008-3-21 00:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 2 楼为什么ＩＤＡ不能分析？ 2008-3-20 18:13 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 3 楼很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 Enjoy it. 2008-3-20 18:30 0
马强雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	马强 4 楼跟下去把算法记录下来 2008-3-20 18:31 0
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 5 楼为什么ＩＤＡ不能分析？ //因为是运行期间生成的代码很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 Enjoy it. //你是说使用ida调试吗？怎么取消"Debugger Segment"属性？跟下去把算法记录下来 //一次性把代码跟下来？子函数太多太复杂几乎完成不了每重新跟一次指令会变化 2008-3-20 22:16 0
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 6 楼可以动态调试后，脚本保存二进制文件，再导入后分析。也可以用od运行到算法展开到内存后dump出来，给IDA分析。 2008-3-20 23:00 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 7 楼为什么ＩＤＡ不能分析？ //因为是运行期间生成的代码运行期的代码也可以分析有的程序为了anti，当然会每次都会变化虚拟内存内的文件装载基址，你得先找到分配内存的地方，使基址每次都固定下来。比如我见过有程序用随机数分配无用的内存，当然随后分配的内存的基址会变化。那么你可以将这个随机数固定成0x0（有前提的）。跟下去把算法记录下来 //一次性把代码跟下来？子函数太多太复杂几乎完成不了每重新跟一次指令会变化想继续分析，最关键的问题还是找清楚同一内存地址处的指令为什么会变化的原因。同一机器上，程序没有什么花样的话，一般不会有变化。很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节保留在数据库中。 -> 很多人都不清楚的小技巧：IDA中将用虚拟内存分配的节Segment的属性"Debugger Segment"取消，会将虚拟内存中的节的数据、用户和程序自动分析的结果都保留在数据库idb中。 2008-3-21 00:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]运行期间解密出来的算法，要怎么取出来？ 0.00雪花