“SR”而不是“MZ”

逆向工程 视窗 聚乙烯
2021-06-14 09:59:42

我根据哈希从 Virus Total 中提取了一堆文件,其中一个样本 ( SHA256 == 3e6ee07c883a6a0e939300a18c61d639a0dea49521037fef09ae77b76f70f843) 真的很奇怪。

基本上它是 PE 文件(更准确地说是 *.exe 文件),但是文件中的前两个字节SR不是MZ.

一直在网上看有没有什么可以在windows机器上执行的魔法,但是没有成功。我猜这是某种损坏的文件,但不确定,所以询问是否有人对SR文件有任何引用

1个回答

可能这只是防止标准防病毒软件扫描文件的一种措施。我怀疑恶意软件要么MZ在实际运行文件之前恢复,要么使用自定义加载器(a la RunPE)来映射和执行它,当然自定义加载器可以被编码以SR额外(或代替)处理签名MZ

其它你可能感兴趣的问题
上一篇如何区分 while(1) 和 do while? 下一篇如何使用免疫调试器通过进程挖空机制分析恶意软件创建的子进程?