最近在使用IDA分析恶意程序时,该程序使用了大量对抗静态分析的方法,使得我在分析时总是使用OD看汇编,但它里面由于call太多,跟了很多以后我都不知道这个call返回到哪里了,于是觉得还是想办法看能否F5下,转成伪代码,看着速度会快很多,于是就有了这篇文章,直接进入主题。
拿这一段代码举例说明如何处理,首先这里红色的0FF98A7B1就是对抗静态分析的一种方法,我们需要先U一下转换为未定义的数据,然后就变成下图这样
因为我在OD中已经调试过了,所以我知道在58的位置按下C,转换成代码就比较正常,每个人根据自己的情况在特殊的位置按下C
从上图中我们也可以看出,E9 28 14都是垃圾指令,用来干扰静态分析
经过手动调整以后变成了下图这样: