恶意代码分析实战Lab1501

本文通过IDA工具展示了如何分析和修复特定的程序错误。利用IDA的Options-Generals功能查看字节码,揭示了E8字节的花指令技巧,并通过调试发现了字符串匹配失败的原因,最终确定了目标字符串为“pdq”。文章还介绍了如何在IDA中切换代码数据和指令视图。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IDA大法中有这个功能:Options - Generals

就可以看到字节码了

根据书中介绍,这就是E8字节的花指令大法,总共用了4次,我们都patch一下保存


成功把红色的“错误”都去掉之后,来分析逻辑

代码中多次出现jnz short loc_40105E

所以很明显这里是字符串匹配失败的地方,提示为:

在OD里调试一发设置个参数跑一下就有了

在401017处取的是字符串第一个字符,与0x70作比较


在401027处,取第三个字符

所以最后的结果是“pdq”


在IDA里其实也是完全可以看出来的

C和D可以在IDA中对代码数据和指令进行切换


根据前面两个判断,401042处明显是指令


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值