我目前正在尝试在Linux下反转一个具有一堆反调试技巧的程序。我能够击败其中一些人,但我仍在与其余的人战斗。可悲的是,因为我是平庸的,所以我花费的时间比预期的要多。无论如何,这些程序在 VM 中运行没有任何痛苦(我尝试使用 VMWare 和 VBox),所以我正在考虑跟踪它在 VM 中的执行,然后在调试器(gdb)下跟踪并区分它们以查看是这些变化更容易找出反调试技巧。
但是,我很久以前用 vmware 进行了一些内核调试,它或多或少都可以(我记得可以访问线性地址......),但我认为它有点不同。
您是否看到了调试此用户态程序而又不至于太痛苦的简单方法?
我建议使用Ether,它是一种用于监视程序执行的工具,它基于 XEN 管理程序。该工具的重点是在不被观察的情况下跟踪程序的执行。要做的第一件事是访问他们的网站并单击恶意软件选项卡,然后提交您的二进制文件,看看他们的自动化 Web 界面是否可以为您执行此操作。如果失败,您可以自己安装它,这很痛苦,但可行,并且应该会产生良好的效果,我过去已经能够安装它。他们在 Ether 网站上有说明,但如果你我建议你也看看这些来自Offensive Computing的补充说明
其他几个可以为您解决问题的自动分析站点: SRI 国际的Eureka和加州大学伯克利分校 bitblaze 的 Renovo