图13

6. Heuristics implementation

(2)高等IAT搜刮

(1) 熵：图14显示了加壳前后MessageBox法度榜样的熵的情况。加壳后熵明显增长。所以可以比较脱壳前后熵的变更大年夜小是否跨越阈值来对脱壳结不雅进行剖断。

PinDemonium 应用启发式办法对获得的转储进行评估，每个启发式办法可以在最毕生成的申报中设置一个标记位，所有的的标记位赞助辨认最好的转储。有4种启发式办法：

图14

(2) 跳到节外：法度榜样脱壳完毕后，调到OEP履行时平日会年腋荷琐节跳到另一个节，应用这一特点来对脱壳结不雅进行剖断。

(3) 长跳转：如图15，法度榜样脱壳完毕后，跳到原始代码去履行的情况平日不是(a)和(b)那种短跳转而是(c)那种长跳转，应用这一特点来对脱壳结不雅进行剖断。

图15

(4) pushad popad：脱壳的过程中是否出现了pushad和popad这两条指令，如不雅都出现了就在申报中设置对应的标记位。

四、实验效不雅

实验一，已知加壳类型的实验，实验结不雅如图16：

图16

实验二，未知加壳类型，样本来源竽暌冠virustotal，实验结不雅如图17：

图17

五、应用

本人因为实验需求，应用vmware搭建了PinDemonium情况，实现批量脱壳。

pin -t PINdemonium.dll -- path-of-smaples\name-malwr.exe 

经由过程这个指令可以实现样本的脱壳，脱壳结不雅截图如图18：

图18

【编辑推荐】

1. Hadoop何故快速成为最佳收集安然对象？
2. Vista Equity Partners收购Ping Identity
3. 绝对不克不及错过！五款卓越的开源安然对象
4. 数据库10大年夜安然对象盘点
5. 白帽黑客必备 60款Web安然对象合集

【义务编辑：IT疯 TEL：（010）68476606】

　　推荐阅读

　　最新SMB僵尸网络利用了7个NSA工具，而WannaCry只用了两个……

据悉，该蠕虫由安然研究人员Miroslav Stampar(克罗地亚当局CERT成员，以及用于检测和应用SQL注入马脚的sqlmap对象的开辟者)于上周三(5月17日)在本身搭建的SMB蜜罐中发明。 近日，研究人员>>>详细阅读

本文标题：PinDemonium通用动态脱壳工具

地址：http://www.17bianji.com/lsqh/35416.html

 1/2    1