私はマルウェア分析の方法を自分自身に教えています。USBドライブで見つかった悪意のあるファイルを分析しようとしたときに、このマルウェアがAspacker 2.12(PEiD)にパックされていることに気付きました。私はこれまでAspackに出くわしたことがなく、グーグルですばやく検索すると、次のビデオ にたどり着きました。点。
別のグーグル検索でtuts4youというサイトの別のチュートリアルにたどり着きました(チュートリアルを表示するにはファイルをダウンロードする必要があるため、リンクを投稿できません)が、この男はESPレジスタとEDIレジスタを見つけて、正確に同じこと。
どちらもollydbgとimportRECを使用しており、チュートリアルではまったく同じことが示されているようです。つまり、ASpackを解凍するためのOEPを見つけることです。
私はこれに慣れていないので、誰かがどちらが正しいのか、そしてその理由を説明してもらえますか?
質問が古すぎないことを願っています...このタスクを達成する方法は他にもあります。上記のチュートリアルの手順に従うか、他の方法を試すことができます (通常、パッカーのバージョン/オプションなどに依存します)。別のアプローチの 1 つに言及するには、パックされた実行可能ファイルで次の手順を見つけてください。
6800000000 push 0
C3 retn
このpush 0命令にブレークポイントを設定し、実行可能ファイルを実行します。この命令はパッカー コードの実行中に変更され、0(DWORD 0x000000) は元のエントリ ポイントのアドレス (DWORD) に置き換えられます (命令はpush 00451000たとえば次のようになります)。
実行されると、OEP のアドレスがスタックにプッシュされ、次のret命令はそれを実行を継続する戻りアドレスとして取得します。したがって、EIP(命令ポインタ) を元のエントリポイントに設定します。
これらの手順を検索するには、16 進エディタまたは HIEW32 をお勧めします...次の 16 進パターンを検索します。
6800000000C3