如何在打包的可执行文件中找到压缩或加密的部分?

逆向工程 静态分析 可执行 加密 解密 解压
2021-06-11 07:53:13

我想分析一个经过打包程序的可执行文件,以查找已压缩或加密的部分。当然,这也意味着我想在可执行文件中找到解压或解密程序的代码。我怎样才能找到这些?

2个回答

在二进制文件中查找压缩或加密部分的一个好方法是熵调查,因为压缩和加密部分显示高度无序(值 1 表示最大无序)。我可以推荐工具binwalk,它可以生成内存熵的图形输出。该图显示了 binwalk 输出,作为对嵌入式设备进行此类静态分析的示例,显示了不同内存部分的典型熵。 在此处输入图片说明

底部是对应的 Ida 内存映射的叠加。

对于大多数包装工来说:

  • 解压或解密的开始几乎是入口点(可能混入了一些反调试)。
  • 静态分析一般无法找到解压或解密的结尾。
其它你可能感兴趣的问题
上一篇绕过CRC校验 下一篇为什么 OEP 没有准备好导入表?