能力值:
![]()
(RANK:260 )
|
-
-
2 楼
先找找Microsoft Script Runtime Library的开发工具,看能不能找到对应的lib文件。
将其导入OD,可以解析出所有被导出的函数。如果有调试符号表,更好。
如果函数没被导出,那就得不到函数名,只有自己逆向分析代码的功能了。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
从 一篇贴子“WinDbg起步 - 懒人笔记”
5c1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4H3M7r3u0D9L8$3N6Q4x3X3g2U0L8$3#2Q4x3V1k6T1K9h3c8W2M7r3q4F1x3U0l9J5x3#2)9J5c8X3q4J5j5$3S2A6N6X3g2Q4x3V1j5J5x3o6l9^5i4K6u0r3x3o6N6Q4x3V1j5I4x3g2)9J5c8U0f1#2z5e0l9J5i4K6u0W2K9s2c8E0L8l9`.`.
发现microsoft的链接
ae8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3#2A6j5%4u0G2M7$3!0X3N6q4)9J5k6h3y4G2L8g2)9J5c8Y4N6Z5k6r3y4Q4x3V1k6V1k6i4k6@1L8$3!0D9M7#2)9J5c8X3c8W2j5Y4g2Y4k6$3W2F1k6#2)9J5c8Y4y4&6L8h3u0G2L8s2m8C8k6#2)9J5k6h3#2K6M7s2R3`.
download下约三百M的symbol包。将exe、cab解压后,找到scrrun.pdb.dll。
去掉了dll的后缀名。
将OD的“select path for symbols”指向scrrun.pdb所在目录,但step into时并没有将函数名称显示出来。
只能一步步F8,发现其中调用了kernel32.GetVolumeInformationW。
知道了scrrun.7352018E大概是获取硬盘序列号的。
可是以后遇到同样的情况,该怎么办?
|
|
|
|
