LoopherBear的博客

使用x64dbg调试dll程序这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的，记录了如何调试一个dll文件。在很多时候一些程序会将核心功能放在dll文件内来完成，这样避免程序被查杀或者被逆向分析，主要手段是通过LoadLibrayA函数来加载一个dll文件，同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。在Windows上要独立执行一个dll程序，那么需要用到rundl32.exe来完成，因此可以借助这个程序来达到调试dll的目的。分析dll程序的启动方式这个

Lab16使用x64dbg调试带参数程序在分析一些样本的时候，无论是.exe / .dll程序，或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式调试带参数启动的.exe程序调试带参数启动的'.dll'程序 看下一篇文章今天分析的程序是来自《恶意代码分析实战》的第十六章实验，第二个程序是一个crackme的程序，本来这个样本的重点是关注反调试部分的知识点，笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序，因此这里就

恶意样本分析-Lab16-01 反调试1分析这个样本是随书《恶意代码分析实战》第十六章的样本，主要用来熟悉反调试的一些手段，这个算是样本分析中需要掌握的基础知识。这篇笔记会包含了静态分析和静态分析。基本要求在分析这个样本之前可以先看一下恶意样本分析–16Windows中一些常用的反调试记录静态分析静态分析就不做PE信息的分析，直接走IDA分析，这个过程尽量不走伪代码分析，分析汇编指令，便于在x64dbg上分析时快速定位。由于已经在第九章分析了，因此这里关注到反调试手段。首先来到入口处看到关键指令

Windows中一些常用的反调试记录这里笔记会记录一些关于Windows中的反调试技术的汇编代码，方便后续分析程序时回来查看。反调试技术包括Windows APIs 调用其他手段检测调试器Windows APIsIsDebuggerPresent这个函数主要检测的是PEB的IsDebugged标志，如果返回非零值则表示被调试CheckRemoteDebuggerPresent这个函数和IsDebuggerPresent函数一样也是检测PEB->IsDebugged状态值， 不过还可

常需要访问学习的网站Corelan TeamC & C 的博客fortineenigmagroupexploit-dbunit42ARM 学习 azeria-labs