(例子详见最新分析的熊猫烧香病毒,并不止应用于病毒分析,也可以应用于其他逆向)
- 在使用IDA使用之前,一定要分析出对象是用什么语言来编写的,然后可以用IDA的签名,将大大增加可读性
- 利用IDA找到导入表,然后通过一些比较明显的API入手,加上交叉引用
ctrl+x---->到达上一层,找到调用这个API的函数,然后针对这个函数,再次应用交叉引用,找到调用这个函数的母函数--->最终会找到OEP附近 - 在导入表里面,可以按
CTRL+F,出现搜索栏,在里面比如输入reg,就可以得到与注册表相关的API - 一般用浅颜色标注的地址为系统函数,一般用黑色标注的地址为非系统函数;
- 在IDA中改基址,edit--->segment--->rebase program,OD里面查看当前模块即可
网友评论