恶意代码分析实战 — Lab 15-01

Main函数跳转前,xor设置eax=0,实现无条件跳转,并且跳转地址0x8b4c55a0h无效

快捷键d,将代码转为数据data,然后选择E8的下一行地址将按快捷键c变为code,此时可以看到跳转的地址401010

将所有带0xE8机器码转为data,其他的转为code

之后选择从0x401000-0x401077所有代码,按快捷键p将其变为一个函数,空格查看CFG图

根据判断跳转以及顺序,得出需要比较的字符为pdq

或者直接F5查看伪代码

运行此程序,输出正确

您可能还喜欢...