Reverse Engineering/악성코드 분석 방법

IDA 디컴파일러에서 Decompilation failure 될 때

쿨캣7 2015. 2. 26. 17:27
728x90
반응형


IDA 디컴파일러(F5)로 디컴파일 하다보면 가끔 스택 문제도 실패하는 경우가 있습니다.


'Decompilation failure: xxxxxx: positive sp value has been found"



오류가 발생한 주소 앞 (여기서는 0x401018)으로 가서 [Alt + K] 로 Chage SP value 를 실행합니다.





이 값을 Current SP value 와 맞춰주면 됩니다.



다시 F5로 디컴파일 해보면 디컴파일된 내용이 나옵니다.




728x90
반응형

'Reverse Engineering > 악성코드 분석 방법' 카테고리의 다른 글

키로거 분석  (0) 2009.07.28
정적분석과 동적분석  (2) 2007.08.21