我的一个朋友从Facebook上下载了一些恶意软件,我很好奇它在不感染我自己的情况下是怎么做的。我知道你不能真正地反编译。exe,但是我至少可以在程序集中查看它或附加调试器吗?

编辑说它不是. net可执行文件,没有CLI头文件。


当前回答

好消息。IDA Pro的旧版本现在是免费的: http://www.hex-rays.com/idapro/idadownfreeware.htm

其他回答

在汇编中查看它可能会得到一些信息,但我认为最简单的方法是启动虚拟机,看看它做了什么。确保你没有未公开的股份或类似的东西,它可以跳过;)

好消息。IDA Pro的旧版本现在是免费的: http://www.hex-rays.com/idapro/idadownfreeware.htm

如果你没有时间,提交恶意软件到cwsandbox:

http://www.cwsandbox.org/

http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/

HTH

任何优秀的调试器都可以做到这一点。OllyDbg试试。(编辑:它有一个很棒的反汇编程序,甚至可以解码参数到WinAPI调用!)

浏览器套件可以做任何你想做的事情。