我在虚拟机上分析的非 .net、x86 机器类型、pe32 可执行恶意软件存在问题。入口点字段不为 NULL,因此这排除了从 0x0 开始的执行。
在创建处于挂起状态的进程后,当我在入口点与调试器中断时,该程序正在设法在入口点之前调用。我在这里有点困惑,这究竟是如何工作的?
问问题
672 次
我在虚拟机上分析的非 .net、x86 机器类型、pe32 可执行恶意软件存在问题。入口点字段不为 NULL,因此这排除了从 0x0 开始的执行。
在创建处于挂起状态的进程后,当我在入口点与调试器中断时,该程序正在设法在入口点之前调用。我在这里有点困惑,这究竟是如何工作的?