样本信息
字符串信息
导出表信息
导入表信息
资源分析
样本分析
- 导出表有Install字样的三个函数,看看是否是安装dll的函数
- 无法使用OD的LOADDLL.EXE进行加载。
- 说明不是有效的PE,无法使用LoadLibrary函数加载这个DLL。只能静态阅读代码了。
- dll功能很多
IDA阅读
- 熟悉IDA的基本使用
- 尝试IDA Python脚本的编写
sea = ScreenEA()
for i in range(0x00,0x50):
b = Byte(sea+i)
decoded_byte = b ^ 0x55
PatchByte(sea+i,decoded_byte)
#include <idc.idc>
static main()
{
auto ea = ScreenEA(),b,i,decoded_byte;
for(i = 0;i<0x50;i++)
{
b = Byte(ea+i);
decoded_byte = b ^ 0x55;
PatchByte(ea+i,decoded_byte);
}
}
技巧
- 使用IN指令检测虚拟机
- IDC脚本的编写
- Python脚本的编写
- 图形化观察函数对API的调用
