IDA + Bochs 调试器插件进行PE+ 格式DLL脱壳

By :obaby

在IDA Pro6.1中我们扩展了Bochs调试器插件，现在已经可以进行64位代码段的调试。在IDA Pro 6.2版本中将有可能实现PE+ 可执行程序的动态调试。由于程序将会在Bochs系统中执行，因而在调试的过程中我们并不需要实际的64位操作系统，因而在实际的调试过程中可以从任何的32位或者64位的Linux，Mac OS 或者Windows操作系统中使用IDA Pro进行64位可执行文件的调试。

为了确认这一项新的功能，我们将进行PE+格式的一个木马程序进行脱壳并且进行一个大体的分析，这个文件是由MATCODE Software公司的mpress进行压缩的。我们将会对讲解DLL文件脱壳，修复输入表并且最终修复数据库来进行分析。

Unpacking the DLL

我们的目标文件是一个木马的DLL文件，该文件被杀软识别为“Win32/Giku”。我们从使用idaq64载入DLL文件开始进行分析，载入之后按Ctrl+S键打开区段窗口：