好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 sxy8889558 于 2013-5-23 12:38 编辑
首先大家需要知道用OD调试软件的一般过程:
<1> 用OD加载脱壳后的程序,如果脱不掉壳可以尝试使用附加正在运行的程序
<2> 利用反汇编得到的信息下断点地址,如果得不到有用的信息活无法脱壳可以尝试API函数断点
*******************
这里大家还需要知道 壳会对引入表修改或者加密,再者就是转储文件时对引入表处理不好。。所以需要对引入表进行修复。
修复技巧: 简单的引入表错误可以通过Import RTC进行修复 复杂的引入表错误智能再次通过调试工具进行调试追踪,找出错误的地方手动进行修复
调试技巧: 在我们遇到CALL的时候 可以遵循 如果是CALL远地址可以(F8步过) CALL近地址 就F7跟进
********************
调试过程中经常会用到一些常用的监视工具(如果大家分析过病毒的话,我想就会理解用一些监视工具的好处了):
文件监视工具: Filemon
注册表监视工具: Regmon Regsnap Regshot
API监视工具: KAM Kerberos
以上监事工具,不只是监视工具什么时候 写入文件,写注册表,而是 记录程序什么时候(什么地址)读写数据。。所以对我们分析文件是有很大的帮助的。【神器】
**********************
API下断的两类方式:
第一类:就是 bp MessageBox 之类的
第二类:利用WINdowsw程序的消息机制进行下断【“查看”->'窗口'->‘选择目标程序并单击鼠标右键’->选择”在ClassProc上设置消息断点“】
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2013-5-23 10:58
|
发表于 2013-5-23 11:33
