Higet
2013-07-28 22:27:09 UTC
REを始めたばかりなので、UPX、ASPackなどの単層のパッキングでパックされたファイルに直面しました。
これらの保護の解凍はオンラインで完全に文書化されています。問題は、特にマルウェアに関して、複数層のパッキングを処理するときに始まります。私はいくつかのチュートリアルに従いましたが、それらは通常十分に詳細ではありません。彼らはOEPを見つけるために面倒なプロセスを経ているようです。たとえば、一般的なパッカー(簡単な部分)を処理することから始め、次に「呼び出しとジャンプ」のどこにでもブレークポイントを設定し、あちこちでファイルをトレースし始めます。私は上記の難しい部分です。この時点で、私は彼らが何を求めているのか、何を目指しているのかについての手がかりがありません。そして、いくつかの作業の後、彼らはOEPを見つけます!
では、そのプロセスで彼らはどのような論理に従ったのでしょうか。また、主題が広いことを知っているので、いくつかのキーワードにも興味があります。
たとえば、upxは暗号化ではなく、実行可能ファイルをパックするためのツールであるため、難読化を意味していると思います。
関連:http://reverseengineering.stackexchange.com/questions/72/unpacking-binaries