动态调试技巧(总结)
本帖最后由 sxy8889558 于 2013-5-23 12:38 编辑首先大家需要知道用OD调试软件的一般过程:
<1>用OD加载脱壳后的程序,如果脱不掉壳可以尝试使用附加正在运行的程序
<2>利用反汇编得到的信息下断点地址,如果得不到有用的信息活无法脱壳可以尝试API函数断点
*******************
这里大家还需要知道 壳会对引入表修改或者加密,再者就是转储文件时对引入表处理不好。。所以需要对引入表进行修复。
修复技巧: 简单的引入表错误可以通过Import RTC进行修复复杂的引入表错误智能再次通过调试工具进行调试追踪,找出错误的地方手动进行修复
调试技巧: 在我们遇到CALL的时候可以遵循 如果是CALL远地址可以(F8步过) CALL近地址就F7跟进
********************
调试过程中经常会用到一些常用的监视工具(如果大家分析过病毒的话,我想就会理解用一些监视工具的好处了):
文件监视工具: Filemon
注册表监视工具:Regmon Regsnap Regshot
API监视工具:KAMKerberos
以上监事工具,不只是监视工具什么时候 写入文件,写注册表,而是 记录程序什么时候(什么地址)读写数据。。所以对我们分析文件是有很大的帮助的。【神器】
**********************
API下断的两类方式:
第一类:就是bp MessageBox 之类的
第二类:利用WINdowsw程序的消息机制进行下断【“查看”->'窗口'->‘选择目标程序并单击鼠标右键’->选择”在ClassProc上设置消息断点“】
KAMKerberos在哪下载? 本帖最后由 sxy8889558 于 2013-5-23 11:34 编辑
寒枫雨雪 发表于 2013-5-23 11:17 static/image/common/back.gif
KAMKerberos在哪下载?
这个还是百度,或者去看雪找吧。。。或者大大有的,你可以在论坛搜索一下,如果还是没有,.......那我就上传吧{:301_1009:}
百度关键字:KAM监视工具...等 sxy8889558 发表于 2013-5-23 11:33 static/image/common/back.gif
这个还是百度,或者去看雪找吧。。。或者大大有的,你可以在论坛搜索一下,如果还是没有,.......那我就上 ...
http://www.52pojie.cn/forum.php?mod=viewthread&tid=52973 是这个吗?(顺便说一句,F8跟进是不是打错了)
寒枫雨雪 发表于 2013-5-23 11:40 static/image/common/back.gif
http://www.52pojie.cn/forum.php?mod=viewthread&tid=52973 是这个吗?(顺便说一句,F8跟进是不是打错了 ...
是的 你找对了,而且f8那里是 f7写的时候大意了谢谢{:301_1008:} 来支持一下~~~顶了
页:
[1]