1、如何启动RORDbg并调试一个程序?
答:点击“打开被分析文件”,出现Windows标准的文件打开对话框,选择欲分析的文件(必须是PE格式的EXE文件),
这时,被调试程序已经加载,可以先设置断点等调试条件,如果希望研究壳的技术,可以点选“遇到异常暂停”,
然后点击“GO!”按钮,程序就开始跑了
注意:如果您确认这个被调试程序是无害的,可以这么直接GO!,如果分析的是木马或者病毒,最好先点选“遇到API暂停”,
要小心往下跑(最好使用单步)
未来的版本会有个“安全运行”模式,即使是木马和病毒也不会造成危害。
2、如何脱壳?
答:脱壳没那么简单,现在的壳和原始程序体结合越来越紧密,找到OEP是非常困难的,即使找到了,由于IAT被加密或者代码
被抽走,而导致脱了壳的文件也不能正常运行。当然,RORDbg是可以成功脱掉一些壳的。
1)对于压缩壳来说一般相对比较容易,只要选中“在OEP处暂停”,然后GO!,耐心等待,停止后,单步走几下就是真正
OEP了,使用MakePe命令就可以成功脱掉。
2)加密壳也可以参考压缩壳的方法试一下,先脱出来,然后再手工修复。
3、为什么有时会跑飞?
如果有个异常不能正确识别,是有可能跑飞的(或者出错),这时,您要看看一共跑了多少指令,这个数字就是那个“已执行
指令数”,记下这个数字,重新开启RORDbg,再次装载这个被调试程序,下一个BPC断点(也就是跑多少条指令停下),比如,
刚才您记下的数字是11598,那么您可以下这样的断点:BPC 11500, 然后GO!,停止后,单步走,您就会发现导致最后跑飞的
那条指令是什么了,如果您觉得这个指令肯定是个异常,那么,停在这条指令上(别跑过了哦),按下“当前指令按异常处理”
按钮,然后继续跑。