目录
发现问题
之前写过一篇关于如何通过C#的Invoke( )函数转入DLL文件代码的文章,涉及到GetMethods( )和Invoke( )两个函数。简单的认为只要通过F10、F11就可以轻松实现所有C#样本的分析,后续遇到一些C#的样本并没能成功的跟踪下去。
问题原因
后来发现这几个样本的特点都是在内存中释放DLL文件,不在磁盘落地,先使用Assembly.laod( )加载,在调用其中的函数,由于找不到DLL文件的代码无法在其中下断点导致使用F10、F11调试会无法跟踪。其中2个样本的关键代码如下:
解决思路
关键问题是内存中的DLL文件无法找到,才导致无法在DLL中下断点,F10、F11才无法跟踪。我们可以显示模块窗口,双击要下断点的DLL文件,在左