通常情况下,特别是在处理恶意软件文件时,您最终会遇到所有API在运行时在给定缓冲区内动态解析的情况,这种方法会大大减慢反转过程(并使反编译器无用:( DWORD *)dword_123456(INT,UINT)())因为分析师必须运行恶意软件,解析api并手动在每个api调用旁边发表评论。我找到了indirectcalls插件,但它似乎只适用于“标准”C ++方法。是否有任何我不知道的脚本或功能,即使在调试过程中也可以修补可执行文件,以便用他们的真实姓名调用API?
答案 0 :(得分:0)
在IDA的安装目录的renimp.idc文件夹中,IDA附带了一个名为idc的脚本。只需在运行时附加IDA(在恶意软件分析的情况下,您可能最好使用远程调试器),导航到解包器创建的API地址表并选择所有条目。然后运行所述脚本。它将重命名所有指向它所指向的API的指针,因此IDA的类型库能够再次从它的内部数据库中为它解析正确的typedef。