通过启动IDA加载样本文件wcry.exe,在初始位置下断点,使用调试器启动并加载本地Win32 debugger。在调试界面,单步调试至call sub_401225,通过查看函数反汇编代码和输入快捷键F5查看伪代码进行分析。该函数动态执行至结束,寄存器EAX的值保存函数返回结果,对应生成的ID值为vxdxwoohuuxv276。进入安装模式需加...
1、启动IDA,加载样本文件wcry.exe 找到WinMain(x,x,x,x)函数,在初始位置下断点(快捷键F2),如下图 2、启动调试器 选择Debugger(快捷键F9) 选择Local Win32 debugger,如下图 选择Debugger-Continue process(快捷键F9),进入调试界面,如下图 3、开始单步调试 单步步入快捷键F7 单步步过快捷键F8 执行到 call sub...
测试环境为Win 7 x86,使用IDA 6.8作为逆向分析工具。首先,加载样本文件wcry.exe,找到并设置初始断点,启动调试器并设置本地Win32调试模式。通过单步调试,分析关键函数的执行逻辑,如动态执行至特定函数时,使用F5查看伪代码,以猜测并验证该函数的功能。例如,该函数生成的ID值为vxdxwoohuuxv276,通...
51CTO博客已为您找到关于ida动态调试exe的相关内容,包含IT学习相关文档代码介绍、相关教程视频课程,以及ida动态调试exe问答内容。更多ida动态调试exe相关解答可以来51CTO博客参与分享和学习,帮助广大IT技术人实现成长和进步。
问题如上,另外今天把一个exe拖进OD,没有显示反汇编代码就直接自动运行了,拖进ida显示的内容有乱码,求…
1、启动IDA,加载样本文件wcry.exe 在IDA View-A窗口右键选着Graph view查看程序的整体流程图。该程序函数你比较多,为了快速定位目标,可以使用查找功能,如下图 找到sub_401225函数双击,如下图 首先会通过一个函数算出一个标识,本质就是通过GetComputerNameW获取计算机名然后取随机数算出一个唯一对应的标识,后面的执行...
1、启动IDA,加载样本文件wcry.exe 找到WinMain(x,x,x,x)函数,在初始位置下断点(快捷键F2),如下图 2、启动调试器 选择Debugger(快捷键F9) 选择Local Win32 debugger,如下图 选择Debugger-Continue process(快捷键F9),进入调试界面,如下图 3、开始单步调试 ...
简介:本文讲的是逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe,2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以我写了这篇面向初学者的教程,希...
1、启动IDA,加载样本文件wcry.exe 找到WinMain(x,x,x,x)函数,在初始位置下断点(快捷键F2),如下图 2、启动调试器 选择Debugger(快捷键F9) 选择Local Win32 debugger,如下图 选择Debugger-Continue process(快捷键F9),进入调试界面,如下图 3、开始单步调试 ...