对于课程作业,我必须分析恶意软件。
它是一个 .EXE Win32 机柜自解压器文件。(这就是windows看到它的方式,它实际上以 4D 5A 00 03 Hex 开头)。运行时,它提取创建的文件夹中的所有文件,运行恶意软件(批处理/VBS 文件),最后删除包含恶意软件文件的文件夹。
我想知道如何在不执行恶意软件的情况下提取?我使用了 ProcDump32,但它给了我:“进程不是 32 位或无法加载或已经完成!”。
不知何故,我成功卡住 ProcDump32 并获取文件夹几秒钟并在它“消失”之前将其复制,所以我得到了文件,但我不确定我收集了所有文件,我想以正确的方式进行.
所以我正在寻找一个可以提取 Win32 Cab Self-Extractor 文件内容而不执行输出文件的应用程序,如果可能的话,提供提取文件的列表。