我有一个恶意的.scr文件,我听说会窃取你的游戏帐号。有没有办法在安全的环境中调试此.scr文件而不执行它。我在IDA PRO中打开它,但没有发现它有用。
任何有关调试过程的指针都会非常值得注意。
答案 0 :(得分:2)
首先:DEBUG程序意味着你执行它,所以如果你知道程序是恶意软件,你应该在像虚拟机这样的安全环境中进行。 恶意软件通常用于保护自己免受调试器的攻击,因此这类工作需要很多技能。
您可以做的一种分析是在虚拟机中执行恶意软件并拍摄机器的快照,然后使用Volatily分析转储,并查看系统已建立的连接,进程状态等..
答案 1 :(得分:2)
分析恶意软件是有风险的。如果您承诺,至少需要一台带有Windows guest虚拟机的Linux主机,这台主机没有无线网卡并且没有从互联网上拔下。恶意软件通常具有检测监狱的机制。常见虚拟机使用标准驱动程序并检查在监狱中运行是否容易。如果在监狱里,什么都不做是一行代码。更糟糕的是,体面的恶意软件通常具有从VM越狱并感染主机Windows的机制。不要甚至提到Sandboxie。最后,但并非最不重要 - 如果您尝试反编译它,一些恶意软件会开始重新开始。所以,不仅仅是一个被盗的游戏密码,你可能会有一个很大的混乱 所以,如果你有一台牺牲电脑和空闲时间,那就继续吧。但要小心。