用 IDA 对"恶意" PE 文件进行调试
(风暴译 qq:719110750 2007-9-19)
几天前,我们从 IDA 用户那里收到一个小程序(test00.exe,
http://www.datarescue.com/idabase/unpack_pe/test00.exe), 它在 IDA 下无法被
调试,无法设置断点,也无法控制它的运行。好象调试器慢到无法捕捉它。当我用 IDA 装载
这个程序时, IDA 提示它找不到引入表,这在我们调试一些加壳的程序或是病毒蠕虫等文件
时,我们经常碰到此类问题。
另一个值得注意的是,它在程序入口点的跳转…没有这个跳转地址!,在 IDA 中,这个
地址被标记为红色,这代表 IDA 无法分析这个地址。
这个程序试图阻止反编译,默认的初始装载设置无法正确反编译这个程序,这主要是因
为我们在开始时使用默认的自动装载功能所致。我们尝试手动加载,在手动模式下,我们可
以选择我们需要加载的程序段,为了保险,我们全部装入,我们需要取消'make imports
section'来避免前面的找不到输入表的问题。
剩余7页未读,继续阅读
资源评论
Eugene8002017-12-14好像有毒 还是不下了。。。
