對於木馬技術愛好者來說,會做免殺是必然的一項技術,在自己編寫的馬被殺的情況下,結合源**定位出被殺的函式是免殺中重要的一項技能。
防毒軟體在定位特徵碼的時候,有時定位的匯入匯出函式,這種情況相對好找,但有時候定位的是自己定義的一段函式。
這時候想找出被殺的部分就比較麻煩了,在學習的時候發現通過以下辦法可以輕鬆的解決這個問題。實現方法如下
1.使用myccl定位出被殺的物理特徵碼位置,比如是00001234 長度是 120
2.開啟ida分析檔案然後開啟hex-view項從右邊找到病毒特徵碼位置
3.找到以後向下稍微移動幾個位元組,然後按f5
4.這時ida會給把被殺的這個函式還原成c**,通過簡單閱讀就能知道是那個函式被殺了
5.最後就是解決被問題了,把**重寫或者 轉換就各想辦法吧
ELF檔案逆向IDA的使用
elf檔案格式分類 重定向檔案 relocation file 包含 和資料,如靜態鏈結庫 可執行檔案 executable file 共享目標檔案 shared object file 鏈結器使用這種檔案同其他可重定向檔案鏈結 核心轉儲檔案 core dump file 程式意外終止,系統將中斷狀...
iOS 逆向工具 IDA
1.ida簡介 逆向工程中神器之一!3.ida視窗功能 a.function window 展現分析出來的所有函式 雙擊函式,main window 顯示函式體 class dump 匯出的都是oc函式,可讀性高 ida還將所有subroutine羅列出來 subroutine的名稱是乙個代號,分析...
03 IDA逆向分析
idapython的文件 在ida的plugins目錄下建立 listfuncplugin.py檔案 coding utf 8 import idautils import idaapi import idc from datetime import datetime class listfunc ...