打包恶意软件的一般解包

逆向工程 恶意软件 开箱
2021-06-12 23:51:17

我做了一个关于恶意软件解包的简短调查,我发现了一些关于自动通用解包的论文:Eureka、PolyUnpack、omniUnpack、Malware Normalization。

然而,这些论文是几年前写的,我认为这些方法仍然有效。这些方法的一个基本假设是解包程序一次恢复整个受保护的代码。因此,当解包程序完成其工作时,我们可以获得转储某个内存区域的原始代码。

当涉及到更复杂的打包程序(例如Maya 的 veil)时,它不会显示完整的受保护代码。据我所知,解决这个问题的尝试是区分执行解包例程的代码和不执行的代码,我认为这并不是真正的解包。

打开复杂包装器的唯一方法是手动反转它?

谢谢你。

1个回答

在这种情况下,您实际上有多个选择:

  1. 精密封隔器的RE

  2. 等待其他人重新编写复杂的打包程序并发布方法/工具。也许在这个社区问?

  3. 求精通打包机作者提供解包机【买一个?】

  4. 请打包程序的作者提供给您,无需应用复杂的打包程序。

希望它有帮助:)

DL

其它你可能感兴趣的问题
上一篇在 ollydbg 上,如何在我在内存映射中找到的代码中找到字符串? 下一篇`iz` 等的标题为 key=value 格式吗?