这里我显示的指令序列不是很全,其实他指令序列里面应该还包含了那些其他寄存器的,这个指令序列在实践中是非常有用的,它可以在用在脱壳中,比如说我们想判断什么时候到达壳的入口点,或者说在去虚拟化,去vmp虚拟化当中它也能用,我们假设我们...
这些都并不是最好的方法,最好的方法是搞fuzz常见的语义分支分析,要用到LLVM做IR 有点麻烦 懒得写了 反正写POC。如果分支覆盖率不足10% 大概率就是这种白夹黑(其实IDA写插件应该就能追出来) edr的重要性 EDR从来就不会遇到这个问题,因为EDR看文件视角都是一样的不可信文件。而杀毒软件则会完全拉闸。2024年了...