开发工具:
文件大小: 102kb
下载次数: 0
上传时间: 2009-04-19
详细说明: 1、如何启动RORDbg并调试一个程序? 答:点击“打开被分析文件”,出现Windows标准的文件打开对话框,选择欲分析的文件(必须是PE格式的EXE文件), 这时,被调试程序已经加载,可以先设置断点等调试条件,如果希望研究壳的技术,可以点选“遇到异常暂停”, 然后点击“GO!”按钮,程序就开始跑了 注意:如果您确认这个被调试程序是无害的,可以这么直接GO!,如果分析的是木马或者病毒,最好先点选“遇到API暂停”, 要小心往下跑(最好使用单步) 未来的版本会有个“安全运行”模式,即使是木马和病毒也不会造成危害。 2、如何脱壳? 答:脱壳没那么简单,现在的壳和原始程序体结合越来越紧密,找到OEP是非常困难的,即使找到了,由于IAT被加密或者代码 被抽走,而导致脱了壳的文件也不能正常运行。当然,RORDbg是可以成功脱掉一些壳的。 1)对于压缩壳来说一般相对比较容易,只要选中“在OEP处暂停”,然后GO!,耐心等待,停止后,单步走几下就是真正 OEP了,使用MakePe命令就可以成功脱掉。 2)加密壳也可以参考压缩壳的方法试一下 ,先脱出来,然后再手工修复。 3、为什么有时会跑飞? 如果有个异常不能正确识别,是有可能跑飞的(或者出错),这时,您要看看一共跑了多少指令,这个数字就是那个“已执行 指令数”,记下这个数字,重新开启RORDbg,再次装载这个被调试程序,下一个BPC断点(也就是跑多少条指令停下),比如, 刚才您记下的数字是11598,那么您可以下这样的断点:BPC 11500, 然后GO!,停止后,单步走,您就会发现导致最后跑飞的 那条指令是什么了,如果您觉得这个指令肯定是个异常,那么,停在这条指令上(别跑过了哦),按下“当前指令按异常处理” 按钮,然后继续跑。 ...展开收缩
(系统自动生成,下载前可以参看下载内容)
下载文件列表
相关说明
- 本站资源为会员上传分享交流与学习,如有侵犯您的权益,请联系我们删除.
- 本站是交换下载平台,提供交流渠道,下载内容来自于网络,除下载问题外,其它问题请自行百度。
- 本站已设置防盗链,请勿用迅雷、QQ旋风等多线程下载软件下载资源,下载后用WinRAR最新版进行解压.
- 如果您发现内容无法下载,请稍后再次尝试;或者到消费记录里找到下载记录反馈给我们.
- 下载后发现下载的内容跟说明不相乎,请到消费记录里找到下载记录反馈给我们,经确认后退回积分.
- 如下载前有疑问,可以通过点击"提供者"的名字,查看对方的联系方式,联系对方咨询.