/////////////////////////////////////////////////////////////////////////////////
文章名称：动态分析程序内部调用系统级异常处理函数后的跟踪调试方法
文章类型：逆向工程、异常处理调试分析
编写作者：Coderui
编写日期：2008年05月06日
作者博客：c0bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6U0L8$3c8W2M7Y4g2A6
/////////////////////////////////////////////////////////////////////////////////
需要解决的问题：
　　一个病毒程序的壳脱掉了，但是调试到程序内部的入口时，病毒作者又自己写了几个创造异常的函数，来干扰病毒分析人员进行动态调试分析。
　　程序内部使用的异常处理和壳中使用的异常处理结构机制是一点也不一样的。
　　壳创造的异常是由壳中的代码去处理的异常，可以很轻松找到异常处理所指向的代码地址。因为这些处理都是在当前程序的领空中，结构也十分的简单，很容易找到。
　　但是有些程序在内部创造的异常就不一样了，他们的异常处理函数部分都是由系统去完成的，就算跟进去(系统领空)，里边的代码都是些系统对异常的“处理机制”和“结构嵌套模块”等，一层套一层，一个CALL(函数)套N个CALL(函数)，把你转的晕晕忽忽的，辛苦到最后不但没找到返回的代码地址，还把病毒程序给跑飞了，那个郁闷、那个恼火呀:(。

问题的解决方法：
　　研究了研究，想了想，其实解决的方法也十分简单。当我们所跟踪的病毒程序进入到真正入口以后，在程序内部可能会带有开发作者特意制造的干扰异常，那么我们可以采用以下方法来进行快速处理。使用OD把病毒主程序载入打开，然后[F9]一次，现在程序遇到异常停在系统领空，我们对主程序代码段下内存断点，然后按一次[Shift + F9]跳过异常继续运行，接着再按几次[F9]后，程序就会回到当前调试程序的领空了。所在代码行，就是调用系统异常处理后病毒要继续执行的恶意代码，也就是病毒作者不想让我们调试分析的病毒功能代码。看样子奸猾的病毒，又要被更多的人彻底的解剖分析了，呵呵。
/////////////////////////////////////////////////////////////////////////////////

[注意]看雪招聘，专注安全领域的专业人才平台！