除了删除它,我还想做一些有趣的研究。 br />“ data0513”的确切含义是什么?我不明白0513是什么。我想这是某种补偿,但无法从哪里弄清楚。
#1 楼
这可能是AV特有的。我想到了一些可能性:如果exe具有嵌入式存档,则为存档成员
覆盖区域(数据超出各节覆盖的区域)资源
...其他内容...
0513似乎太小而无法偏移,所以我怀疑它是一个序列号。要了解更多信息,您可能需要重新使用AV引擎,以了解其使用的命名方案以及编号的分配方式。
#2 楼
除了对AV软件本身进行反向工程之外,您没有一种可靠的方式来了解命名模式的含义。某些AV可以选择转储恶意软件。也许您会这样做,但实际情况不太可能,因为普通用户永远不会使用该功能,因此可能会有风险。
您可以使用像Virustotal这样的工具
来预处理文件并更深入地了解文件的含义。就像人们想象的那样扫描恶意软件。它具有相当不错的自动静态二进制分析功能,您可能会觉得有用。例如,该工具可能使您偏离了恶意软件所处的区域,从而可以将其提取出来。
评论
您能解释一下VirusTotal在这里有什么帮助吗?
– 0xC0000022L♦
18年6月13日在20:35
使用原始文件的哈希,您可以查找VirusTotal(等),其他60多个扫描引擎对您的样本的看法也可能会为您提供有用的信息。您可以参考威胁描述或报告的参考,并详细了解找到的KIS。
– adric
18 Jun 15'在17:26
好解释adric。我正在编辑。
– 0xfede7c8
18年6月15日在20:12
VirusTotal在哪里/如何“可能使您偏离恶意软件所居住的区域”?
– NirIzr
18年6月16日在23:32
评论
为了在“其他”项上扩展与匹配恶意软件的规则相关的偏移量或序列号(或哈希或校验和的最后十六进制数字)...
– 0xC0000022L♦
18年6月13日在20:34