0x01 前言
团队逆向牛的解题思路,分享出来~
0x02 内容
团队逆向牛的解题思路,分享出来~
0x02 内容
0.
样本
bbcdd1f7-9983-4bf4-9fde-7f77a6b947b4.dll
1.
静态分析
使用IDAPro
逆向分析样本,样本较小,得到方法列表:
![](https://i-blog.csdnimg.cn/blog_migrate/6991c850c7b18838eabd58f2a6e5ad85.png)
调用关系:
![](https://i-blog.csdnimg.cn/blog_migrate/03c69d243152cf258005f00a2f3df37f.png)
PS:
开始受调用关系误导,分析DLL入口函数调用的几个方法,浪费了时间。
查看内部字符串:
![](https://i-blog.csdnimg.cn/blog_migrate/546eeaf446f9551cd7811eb570202759.png)
根据yes!
定位到方法
get_string
![](https://i-blog.csdnimg.cn/blog_migrate/621b07b62e132a93d29d31bdd56af43b.png)
get_string:
调用关系图,有解密过程调用。
使用IDAPro F5
功能,生成伪码:
![](https://i-blog.csdnimg.cn/blog_migrate/18d9cc2eee1bf791bda27ac21c5acbb8.png)
大致过程:
1)
获取unk_6E282000
处存储的
0x19
长字节流