今日、私のAVはWin9X.CIH.damという古いマルウェアを発見しました。それを削除するのではなく、少し調べて楽しみたいと思います。
「data0513」とは正確にはどういう意味ですか? 0513 が何であるか理解できません。ある種のオフセットだと思いますが、どこからかわからないのです。
ホストの実行可能ファイルからマルウェアをダンプして逆アセンブルしたいと思います。
今日、私のAVはWin9X.CIH.damという古いマルウェアを発見しました。それを削除するのではなく、少し調べて楽しみたいと思います。
「data0513」とは正確にはどういう意味ですか? 0513 が何であるか理解できません。ある種のオフセットだと思いますが、どこからかわからないのです。
ホストの実行可能ファイルからマルウェアをダンプして逆アセンブルしたいと思います。
これはおそらくAVに固有のものです。いくつかの可能性が思い浮かびます:
...他の何か...
0513は小さすぎてオフセットできないようであるため、シーケンス番号であると思われます。詳細を知るには、AVエンジンをREして、使用する命名スキームと番号の割り当て方法を理解する必要があります。
その命名スキーマが何を意味するのかを知るための信頼できる方法は、AVソフトウェア自体をリバースエンジニアリングする以上のものではありません。
一部のAVには、マルウェアをダンプするオプションがあります。たぶんあなたはそうするかもしれませんが、通常のユーザーがその機能を使用することは決してなく、それは危険かもしれないので、そうではないでしょう。
次のようなツールを使用できます: Virustotal
ファイルを前処理して、ファイルが何であるかについての洞察を得るには。VirusTotalはツールではありません。考えられるように、マルウェアをスキャンするためだけに。それはあなたが役に立つと思うかもしれない非常にまともな量の自動静的バイナリ分析を持っています。そのツールは、マルウェアが存在する地域のオフセットをスローし、たとえばマルウェアを抽出できるようにする場合があります。
次に、独自のツールを使用して調査を続けます。
可能性は低いと思われますが、値はファイル内の絶対オフセットである可能性があります。 CIHは、ファイルヘッダーの終わりとセクションの始まりの間、および1つのセクションの終わりと次のセクションの始まりの間などのスペースに自分自身を挿入しました。PEエントリポイントフィールドを自分自身を指すように変更して、すぐに実行されるようにしました。 。 IDAなどの逆アセンブラを使用すると、コードを確認でき、そこから16進エディタなどを使用してコードを抽出できます。