在对恶意文件分析的过程中,除了大部分情况下Windows平台里会遇到的exe可执行文件外,同样也会存在一些dll文件。而众所周知,ollydbg只能调试32位架构的程序,所以对于64位架构的恶意dll文件来说是无能为力的,所以对64位dll程序的调试我们通常会采用x64dbg。
以下版本的x64dbg为May 15 2020,可自行去网上下载使用。在调试恶意文件前将其文件名修改成dll后缀,之后启动x64dbg,找到System32文件夹下的rundll32.exe并加载,接着改变命令行。
所需的命令行如下,最后面的是指定的导出函数。
"C:WindowsSystem32rundll32.exe" "C:UsersonionDesktopXXXXXXXX.tmpDriverGFX.dll",updateCache
"C:WindowsSystem32rundll32.exe" "C:UsersonionDesktopXXXXXXXX.tmpDriverGFX.dll",#1
加载后会进入到rundll32.exe的入口代码:
为了调试指定的dll,需要设置相应的断点,避免运行后错过,设置DLL入口断点,可以在dll被rundll32.exe加载的时候让调试器自动中断下来。
此时F9运行后位于kernel32.dll模块:
再接着F9,直到到达所需调试的dll代码区域。
此时就可以对所需的dll进行调试,同样可以更改命令行参数去调试所需的导出函数。
原文始发于微信公众号(OnionSec):x64dbg调试64位dll恶意文件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论