我正在自学如何进行恶意软件分析。在尝试分析在 USB 驱动器上发现的恶意文件时,我注意到该恶意软件包含 Aspacker 2.12 (PEiD)。我以前从来没有遇到过 Aspack,快速的谷歌搜索让我看到了这个视频:http ://www.youtube.com/watch?v=I3QeEqC4-jE 这家伙说要找到 ECX 寄存器来找到原始条目观点。
另一个谷歌搜索让我在一个名为 tuts4you 的网站上找到了另一个教程(我无法发布链接,因为你需要下载文件才能查看教程)但是这个人说要找到 ESP 寄存器和 EDI 寄存器并完全按照一样。
他们都使用 ollydbg 和 import REC,看来教程显示的内容完全相同——即找到用于解压 ASpack 的 OEP。
由于我是新手,有人介意解释哪个是正确的,为什么?
希望这个问题不会过时......有更多方法可以完成这项任务。您可以按照上述教程中的步骤操作或尝试其他方式(通常取决于打包程序版本/选项等)。要提及另一种方法,请尝试在打包的可执行文件中找到以下说明:
6800000000 push 0
C3 retn
将此push 0指令设置断点并运行可执行文件。该指令将在打包程序代码执行期间被修改,并且0(DWORD 0x000000) 将被替换为原始入口点的地址 (DWORD)(因此该指令看起来像push 00451000示例)。
一旦执行,OEP 的地址将被压入堆栈,随后的ret指令将把它作为返回地址,执行应该继续......因此将EIP(指令指针)设置为原始入口点。
要搜索这些说明,我建议使用一些十六进制编辑器或 HIEW32...搜索以下十六进制模式:
6800000000C3