-
-
[旧帖] [求助]关于附加数据处理在OD中跟踪的问题 0.00雪花
-
发表于: 2008-1-26 22:19
-
小弟在调试某一dll木马的时候,知道这个木马是注入QQ.exe得到密码帐号,用空间收信的方式.
空间收信的地址在附加数据中,直接查看附加数据是加密的,
小弟的疑问有:
1,现在希望跟踪得到这一段附加的加密数据的解密过程,但是,动态调试dll过程中,没有办法让这个dll执行到解密附加数据的地方,原因可能有dll本身会检查加载它的进程,od载入是以loaddll.exe加载的,如果判断加载程序不是QQ则结束自身线程~那么这样我应该如何调试这个dll~我尝试过的方法有,开QQ,然后OD附加到QQ上,执行,让内存中寻找到木马dll的代码下断,但似乎没法顺利中断,几次出现最终停在ntdll.exe领空,提示线程结束~那么我该如何更好的模拟这个dll木马运作的环境哩(比如说让其注入QQ之类的),然后调试得到解密的过程?
2.附加数据载入内存时候的位置?od调试时在内存窗口中似乎没有看到附加数据,所以我想问问,附加数据有没有载入内存(以有解密过程这点推测是有)但是不知道加载在什么地方..
3.如果以静态调试的话直接看反汇后的代码来寻找解密过程,最大的困难是,什么时候读取了附加数据,如果以寄存器寻址之类的,似乎很难判断~
不知我有没有表达清楚我的问题,耽误各位数分钟时间,希望能指点一下我~万分感谢~
空间收信的地址在附加数据中,直接查看附加数据是加密的,
小弟的疑问有:
1,现在希望跟踪得到这一段附加的加密数据的解密过程,但是,动态调试dll过程中,没有办法让这个dll执行到解密附加数据的地方,原因可能有dll本身会检查加载它的进程,od载入是以loaddll.exe加载的,如果判断加载程序不是QQ则结束自身线程~那么这样我应该如何调试这个dll~我尝试过的方法有,开QQ,然后OD附加到QQ上,执行,让内存中寻找到木马dll的代码下断,但似乎没法顺利中断,几次出现最终停在ntdll.exe领空,提示线程结束~那么我该如何更好的模拟这个dll木马运作的环境哩(比如说让其注入QQ之类的),然后调试得到解密的过程?
2.附加数据载入内存时候的位置?od调试时在内存窗口中似乎没有看到附加数据,所以我想问问,附加数据有没有载入内存(以有解密过程这点推测是有)但是不知道加载在什么地方..
3.如果以静态调试的话直接看反汇后的代码来寻找解密过程,最大的困难是,什么时候读取了附加数据,如果以寄存器寻址之类的,似乎很难判断~
不知我有没有表达清楚我的问题,耽误各位数分钟时间,希望能指点一下我~万分感谢~
