:tieba_087:感觉我逆向这条路到瓶颈了，大文件基本上不知道怎么定位，求佬们指指路，指点一下方向 
目前我的情况是小样本可以分析，但是一旦大于1M的样本，尤其是那种修改正常程序插入恶意执行代码的，我完全不知道怎么办 
比如这个样本 
https://s.threatbook.com/report/file/ec4b3a89589e0da69b0727f06ccd4dfa937ee1a6c5925e0092f472d44d72ff11 
 [image] 
文件大小37M 
这个应该是clash的安装程序，然后安装过程中植入了银狐后门 
我把样本丢进IDA Pro之后，解析了1W个函数，我想要知道的是，恶意代码究竟做了什么，什么时候会这样做，比如什么时候发起外联，外联会带走宿主机的什么数据，自启动修改了什么地方，是怎么做到后门上线的 
:tieba_087:但是我现在完全没法定位，我不...