我的一个朋友从Facebook上下载了一些恶意软件,我很好奇它在不感染我自己的情况下是怎么做的。我知道你不能真正地反编译。exe,但是我至少可以在程序集中查看它或附加调试器吗?
编辑说它不是. net可执行文件,没有CLI头文件。
当前回答
任何优秀的调试器都可以做到这一点。OllyDbg试试。(编辑:它有一个很棒的反汇编程序,甚至可以解码参数到WinAPI调用!)
其他回答
好消息。IDA Pro的旧版本现在是免费的: http://www.hex-rays.com/idapro/idadownfreeware.htm
如果你没有时间,提交恶意软件到cwsandbox:
http://www.cwsandbox.org/
http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/
HTH
如果你只是想弄清楚恶意软件在做什么,在像Process Monitor这样的免费工具下运行它可能会更容易,它会在它试图访问文件系统、注册表、端口等时报告…
此外,使用像免费的VMWare服务器这样的虚拟机对这类工作非常有帮助。您可以创建一个“干净”映像,然后每次运行恶意软件时都返回到该映像。
浏览器套件可以做任何你想做的事情。
X64dbg是一个很好的开源调试器,它是主动维护的。
推荐文章
- 保护可执行文件不受逆向工程的影响?
- 在GDB中显示当前的组装指令
- Linux有c++ gdb图形用户界面吗?
- 是什么让Visual Studio调试器停止评估ToString重写?
- 打印一个可变内存地址在swift
- 访问控制台和扩展的后台开发工具
- Python内存泄漏
- 使用Visual Studio调试器在值更改时中断
- 如何调试一个GLSL着色器?
- 漂亮地打印Java集合(toString不返回漂亮输出)
- 为什么引入无用的MOV指令会加速x86_64汇编中的紧循环?
- 确定导致分段错误的代码行?
- 如何在GDB中打印c++向量的元素?
- Objective-C for Windows
- 在Clojure中调试?
