제 친구가 Facebook에서 멀웨어를 다운로드했는데, 감염되지 않고 어떤 기능을 하는지 궁금합니다. .exe를 디컴파일할 수 없다는 것을 알고 있지만 최소한 어셈블리에서 보거나 디버거를 첨부할 수 있나요?
.NET 실행 파일이 아니며 CLI 헤더가 없다고 편집합니다.
, 디버거를 통해 이 프로그램을 통해 조립품을 br /> interactively.< 단계 수 있습니다. , 역어셈블러 함께 프로그램 조립품을 detail.<, br /> 더 볼 수 있습니다. , 역컴파일러 전환할 수 있는 프로그램을 통해 다시 작성된 소스 코드, you know what it 의 경우 부분 (찾을 수 있는 out with free) 와 같은 도구를 페이드 - 만약 프로그램이 압축됨, you& # 39, ll %s/dbase/ext_table. 풀 먼저 또는 쉽게 탐지합니다 # 39 can& 경우, t groupx 페이드 어디든요. 깃허브 의 개발자 커뮤니티 죽사오나 강하다는 현재).
일부 관련 도구를 어떤 일을 할 수 있는 것은 있다 하고, 리소스 편집기를 따라오렴 핸디 you& # 39 와 같은 좋은 헥사 편집기 (무료) 와 같은 레소르세이커 Hex Workshop (상용).
개인적으로 roll with 올리, WinDbg &. W32Dasm 및 몇몇 작은 유틸리티에는 툴과도.
또한, 즉, 분해, 심지어 디버깅하지 < i>, 다른 people& s< /i> # 39;;; 소프트웨어는 일반적으로 본 그 자체에 대한 최소한의:)
최신 컴퓨터 프로그램을 통해 생산되는 일련의 변환에는 시작으로, 한 사람이 읽을 수 있는 텍스트 입력 바디입니다 지침 (불렀으매 소스 code" ";) 컴퓨터 판독 및 지침 (, 또는 binary" " 불렀으매 바디입니다 기간말 수신기마다 또는 code" 머시닝할 ";).
컴퓨터 기계어 명령을 실행합니다 방식을 완전히 아주 간단합니다. 각 프로세서일 조치를 취할 수도 있다 (예를 들어, 두 개의 값을 읽거나 추가 메모리,) 는 나타내는 숫자 코드. 그는 다음달 2 수와 그 수가 1 비명 얘기했잖나 경우 그 후 1 또는 2 위로 카드에서바로 유보됨 함께 사용할 수 있습니다, 그에 따라 그는 다음달 소리 또는 그들에 대한 검색되어야 꼭 이래야겠어요 지정하십시오. 본질적으로 같은 컴퓨터 시스템을 사용하는 작동합니다.
그냥 이진 파일은 일련의 이러한 코드 (일반적으로 " 호출하십시오, op codes") 및 정보 (arguments" ";) 작업자쪽에서 op 코드 등에 관한.
이제 컴퓨터 언어, 어셈블리 언어 () 는 각 명령에 정확히 하나의 op 코드 에 있는 단어 언어로 seabreeze 프로세서입니다. 1:1 번역 간에는 어셈블리 언어 명령 및 프로세서일 op 코드 직접판매용 있습니다. 이 때문에 코딩 코딩 조립품을 x386 프로세서는 대한 조립품을 다를 경우 ARM 프로세서.
단지 이 해체. 이진 (the machine code) 를 통해 이 프로그램을 통해 판독합니다 교체하십니까 op 코드 출력입니다 결과 해당 어셈블리 언어 명령 및 텍스트 파일로. # 39 의 it& 이해하는 데 중요한 이. 컴퓨터에 있는 바이너리인 다음 읽을 수 있는 이진 역시 수작업으로 읽을 수 있습니다 (이크) 또는 op 코드 테이블에 악수하겠소 통해 역어셈블러.
하지만 몇 가지 새로운 요령 및 디셈 %s/dbase/ext_table. it& # 39 의 모든 것을 이해하는 데 중요한 것은 결국 역어셈블러 검색하고 대체하는 방식. 그래서 모든 것을 금지하고 있는 것은 결국 EULA 불어오는 뜨거운 공기가. # 39, 한 번에 컴퓨터 프로그램을 사용하면 can& 있습니다 t 데이터 및 컴퓨터 프로그램 데이터를 읽고 또 읽는 금기한.
(Don& # 39, t get me 시도_횟수 사용자정의하려면 잘못된 있었습니다. 물론 그들이 행하는 DRM 의 노래 파일을.)
그러나 주의할 사항이 있는데 이 해체 외곽진입. 변수 이름은 존재하지 않는. # 39 건, 이런 doesn& 데이터베이스에구성원을 cpucomment 존재하지 않는다. 그들은 더 필요한 경우가 있다) 로 분해하면 이진용으로 라이브러리 호출을 것이다. 가장 힘든 및 조립품을 tpc. 지옥을 읽어들입니다 로드하십시오.
대부분의 전문 프로그래머가 어셈블리 언어 받지 못한 채 앉아서 검토완료 can& t # 39, 두통. # 39 의 아마추어 it&, s just not going 것입니다.
어쨌든, 이 기술은 있지만, 이를 통해 어느 정도 호도 오버 바란다 "고 설명했다. 누구나 느낄 수 있는 무료 재무 제표에 대한 중요한 왜곡 표시 해결하십시오 내 세에서의. # 39 의 it& 컨텍스트로 귈이예요. )
그냥 알아내려 하고 어떤 경우에는 이보다 훨씬 쉬울 수도 있지만, it 업계의 실행하십시오 맬웨어가 높여줍니까 풀려났거든 도구에서는 같은 일을 하는 것 [프로세스 모니터] [1] 보고하십시오 액세스하려고 할 때마다 파일, 레지스트리, 포트, etc.
또한 같은 가상 머신을 사용하여 무료 VMWare server 는 아주 도움됐네 이러한 형태의 작동합니까. &Quot clean", 할 수 있습니다. 이미지, 그리고 불과 갈 수 있는 실행할 때마다 맬웨어입니다.
[1]: http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx ", 프로세스 Monitor".
소프트웨어 (sw) 라 불리는 일종의 그리웠댔지 disassembler" ";).
빠른 구글 익올때 이: http://www.geocities.com/ ~ sangcho/disasm.html
Immunity Debugger, 취약점 분석 및 쓸 수 있는 강력한 툴을 는 맬웨어가 역엔지니어링 이진 파일. 처음에는 소스 코드를 기반으로 하지만 Ollydbg 1.0 이 이름을 가진 레오루션 버그 고정식입니다. 이 회사는 잘 파이썬 스크립트를 만들 수 있도록 최대한 쉽게 파이썬 API 지원 , 도와드릴 수 있는 분석.
또한, 좋은 하루, s # 39 에서 피터 there& 코레란 고객팀에 작성했습니까 호출됨 mona.py, 렉셀랑 도구에서는 브트와.
맬웨어가 스와산드로스 제출할 수 없을 경우, 시간:
http://jon.oberheide.org/blog/2008/01/15/detecting-and-evading-cwsandbox/
하스
프로그램을 실행할 경우 확인할 수도 없이 않니다 컴퓨터를 사용하는 가상 머신 <;;;; (http://vmware.com) 등 a href = " " > vmware< /a>. 또는 microsoft vpc 또는 수 있는 프로그램, a href = " " >, http://www.sandboxie.com 같은 프로그램을 스캔박스 < sandboxie< /a>;;;
2019년, i&; d # 39 라고 기드라 (https://ghidra-sre.org/) 는 체크아웃하기 했다. # 39 의 오픈 소스 (무료), 계시한하나님께 it& 폭발적인 코드 분석 기능을 기능을 포함한 디컴파일 all the way back to 상당히 판독값 C 코드.