拆卸中的隐藏代码

逆向工程 拆卸 恶意软件
2021-06-29 01:06:15

我正在测试从单个 EXE 文件构建的恶意软件,它不会加载任何其他 DLL。

我可以看到 EXE 被注册为 COM 对象(我不知道 EXE 如何成为 COM 对象......)。但是当我运行它并查看 procmon 时,我可以看到它将值写入注册表。

我尝试用IDA Pro 6.8/OllyDbg打开EXE文件,看不到任何RegSetValue调用甚至引用(没有加载Advapi32.dll)。

我怀疑在这些反汇编中存在一些我看不到的隐藏代码。

如果有这样的隐藏代码,我怎么才能看到呢?顺便说一句,EXE 如何注册为 COM 对象?

1个回答

您看到的可能是“打包/混淆”恶意软件。有很多方法可以从静态分析中“隐藏” RegSetValue,但我最好的猜测是你看到的是运行时 API 地址解析:“API 混淆有两种主要类型。在第一种类型中,所有 API 函数地址在程序的主程序开始。第二,API函数地址在调用时单独解析。你可以从赛门铁克的这篇论文中阅读更多关于它的内容 。如果你想“看到代码”,你必须先解压它.

关于第二个问题有关于它的讨论好了这里

其它你可能感兴趣的问题
上一篇我将如何通过反编译程序来查找加密密钥或密码? 下一篇试图找出 Fluke 233 无线显示万用表的 CRC 或校验和