我的一个朋友从Facebook上下载了一些恶意软件,我很好奇它在不感染我自己的情况下是怎么做的。我知道你不能真正地反编译。exe,但是我至少可以在程序集中查看它或附加调试器吗?
编辑说它不是. net可执行文件,没有CLI头文件。
我的一个朋友从Facebook上下载了一些恶意软件,我很好奇它在不感染我自己的情况下是怎么做的。我知道你不能真正地反编译。exe,但是我至少可以在程序集中查看它或附加调试器吗?
编辑说它不是. net可执行文件,没有CLI头文件。
当前回答
浏览器套件可以做任何你想做的事情。
其他回答
在汇编中查看它可能会得到一些信息,但我认为最简单的方法是启动虚拟机,看看它做了什么。确保你没有未公开的股份或类似的东西,它可以跳过;)
当然,看看IDA Pro。他们提供了一个评估版本,所以你可以尝试一下。
我想说,在2019年(甚至在2022年),Ghidra (https://ghidra-sre.org/)值得一看。它是开源的(免费的),具有惊人的代码分析能力,包括反编译到相当可读的C代码的能力。
如果你没有时间,提交恶意软件到cwsandbox:
http://www.cwsandbox.org/
http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/
HTH
真不敢相信居然没人提豁免调试器的事。
免疫调试器是一个强大的工具,编写漏洞,分析恶意软件,并反向工程二进制文件。它最初是基于Ollydbg 1.0源代码,但与名称资源的bug修复。它有一个良好支持的Python API,易于扩展,因此您可以编写Python脚本来帮助您进行分析。
另外,Corelan团队的Peter写了一个很好的工具,叫mona.py,顺便说一句,这是一个很好的工具。