动态调试分析(中)
教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm
Lab 9-2
本节实验使用样本Lab09-02.exe。
在二进制文件中,你看到的静态字符串是什么?
右键 -> 查找 -> 所有参考文本字串,我们看到了“cmd”和一些导入函数。
当你运行这个二进制文件时,会发生什么?
按下运行键,程序一下就终止了,看来要让该样本运行起来是有条件的。
怎样让样本运行起来?
样本没能运行起来,那就只能通过OD进行动态调试找原因了,先使用IDA查看OEP,为0x401128。
在0x401128处下断点,按下F9便来到了OE