前言 我们在分析一个程序的时候，通常的步骤是拖进PEid等工具查壳，看区段和引用，然后拖进OD等调试器脱壳，或者IDA等工具查看源码，来对程序有个大体上的了解。然而在分析病毒样本的时候，脱壳要费一番功夫，反调试又是一道坎。接着在关键API或者字符串下断，查看运行情况，还得担心可能的暗桩或程序自带的钩子。往往一番功夫下来，连病毒是做什么的，怎么做的都不知道，绕进反调试或反混淆里面出不来。就算是定位到了关键API，参数的获取和处理也是一个难题，毕竟涉及到内存的分布、系统内部类或结构体的变量定义与解析的问题。 换一种思路…