来自恶意软件字节的 hasherezade 对 Red Petya（版本 1）进行了出色的分析，包括有关如何解压缩它的分步过程。

但是，如果我们尝试转储它，我们将无法获得有效的可执行文件。它的数据目录被破坏。PE 文件已由密码器处理，以便加载到连续空间中，而不是按部分划分。它失去了独立运行的能力，而不会被密码器的存根加载。保存为 RVA 的地址实际上是原始地址。我使用自定义工具重新映射了它们，它显示了更多信息，即这个 PE 文件的名称是 Setup.dll：

通常，解决方案是正确了解恶意软件的作用，而不仅仅是断点VirtualAlloc并等待将正常运行的 PE 放在银盘上交给您。

这通常需要在加载 PE 文件之前和进行 VirtualAlloc 调用之后调试恶意软件，而不是在文件上执行所有操作。在该阶段使用更具交互性的调试器（例如 IDA 或radare2）可能会有所帮助，因此对文件的跟踪操作会更容易。