这一节完全是IDA的使用介绍
1直接用IDAPro打开.dll文件,就直接来到Dllmain处,可以知道地址为0x1000D02E
2 3要知道gethostbyname在WS2_32.dll就比较容易找到,而且注意是区分大小写的.这是小写,找到后双击到达输出表处,然后右键gethostbyname函数名选择Xrefs graph to查看有多少函数调用它结果如图:五条线说明有五个函数调用他
4在上题的输出表处,选择函数名gethostbyname并且按X,显示所有对hethostbyname的调用,找到,0x10001757(sub_10001656+101)双击到达代码处,分析如下,0x100019040处的全局变量地址赋值给eax,eax+0dh得到要请求的DNS名字,再压入栈作为gethostbyname的参数,所以双击查看10019040处代码,再双击跳转到1001994处看到字符串,[This is RDO]pics.praticalmalwareanalysis.com,去掉前头0dh个字符得到pics.praticalmalwareanalysis.com
5 6按G跳转到0x10001656往