我的一个朋友从Facebook上下载了一些恶意软件,我很好奇它在不感染我自己的情况下是怎么做的。我知道你不能真正地反编译。exe,但是我至少可以在程序集中查看它或附加调试器吗?
编辑说它不是. net可执行文件,没有CLI头文件。
当前回答
任何优秀的调试器都可以做到这一点。OllyDbg试试。(编辑:它有一个很棒的反汇编程序,甚至可以解码参数到WinAPI调用!)
其他回答
在汇编中查看它可能会得到一些信息,但我认为最简单的方法是启动虚拟机,看看它做了什么。确保你没有未公开的股份或类似的东西,它可以跳过;)
如果你只是想弄清楚恶意软件在做什么,在像Process Monitor这样的免费工具下运行它可能会更容易,它会在它试图访问文件系统、注册表、端口等时报告…
此外,使用像免费的VMWare服务器这样的虚拟机对这类工作非常有帮助。您可以创建一个“干净”映像,然后每次运行恶意软件时都返回到该映像。
当然,看看IDA Pro。他们提供了一个评估版本,所以你可以尝试一下。
好消息。IDA Pro的旧版本现在是免费的: http://www.hex-rays.com/idapro/idadownfreeware.htm
X64dbg是一个很好的开源调试器,它是主动维护的。
推荐文章
- 如何为KnockoutJS调试模板绑定错误?
- 如何在构建目标之外生成gcc调试符号?
- 调试器是如何工作的?
- 测试点%eax %eax
- 当有命令行参数时,如何使用GDB分析程序的核心转储文件?
- 如何在Visual Studio中找到堆栈跟踪?
- 有一个好的Valgrind Windows的替代品吗?
- Eclipse调试器总是阻塞在ThreadPoolExecutor上,没有任何明显的异常,为什么?
- Visual Studio:如何打破处理异常?
- 确保您的项目构建设置正在生成一个dSYM文件。对于所有配置,DEBUG_INFORMATION_FORMAT都应该设置为dwarf-with-dsym
- 如何获得GDB中所有线程的回溯?
- 为什么程序不是经常用汇编编写的?
- 如何检测IE11?
- 连接网络共享时,如何提供用户名和密码
- 如何通过参数和重定向stdin从一个文件到程序运行在gdb?
