样本信息

字符串信息

导出表信息

导入表信息

资源分析

样本分析

• 导出表有Install字样的三个函数，看看是否是安装dll的函数
  
  
• 无法使用OD的LOADDLL.EXE进行加载。
• 说明不是有效的PE，无法使用LoadLibrary函数加载这个DLL。只能静态阅读代码了。
• dll功能很多

IDA阅读

• 熟悉IDA的基本使用
• 尝试IDA Python脚本的编写

sea = ScreenEA()

for i in range(0x00,0x50):
        b = Byte(sea+i)
        decoded_byte = b ^ 0x55
        PatchByte(sea+i,decoded_byte)

• 尝试IDA idc脚本的编写

#include <idc.idc>
static main()
{
    auto ea = ScreenEA(),b,i,decoded_byte;
    for(i = 0;i<0x50;i++)
    {
        b = Byte(ea+i);
        decoded_byte = b ^ 0x55;
        PatchByte(ea+i,decoded_byte);
    }
}

技巧

• 使用IN指令检测虚拟机
• IDC脚本的编写
• Python脚本的编写
• 图形化观察函数对API的调用

本栏目推荐文章
• 寒假生活指导05
• 2024-01-13 记录react-dnd拖拽组件的用法
• 05_OLED调试工具
• 01_STM32简介
• 2024-01-13 react 监听上一页返回
• 2024-01-13：用go语言，现在有一个打怪类型的游戏，这个游戏是这样的，你有n个技能， 每一个技能会有一个伤害， 同时若怪物小于等于一定的血量，则该技能可能造成双倍伤害， 每一个技能最多只能释放
• vi / vim编辑器的使用 [补档-2023-07-01]
• 2024-01-13 antd的tabel组件业务问题之勾选了table中的一项，然后弹出弹窗，接着关闭弹窗，刷新table，但是table选中的一项还是显示被勾选中的状态 ==》你没有改变所选中的数据（selectedRowKeys）
• 01 Ubuntu 系统的安装
• 2024-01-13 Can't perform a React state update on an unmounted component. This is a no-op, but it indicates a memory leak in your application. ==》引用了未使用的方法导致

Lab 05 01lab 05 01 lab 06 01 01 lab 2024 01 05 lab 01 03 lab 01 04 所得2024 01 05 lab 03 01 lab 01 02 01 05