最近,虽然逆向工程是一块恶意麦斯科斯软件来研究它究竟是什么,但我注意到二进制文件中的一些奇怪的东西。在二进制中似乎有一点签名或消息。
它看起来不像作者将添加到“签署工作”所以我决定稍微调查一下。我的第一次猜测可能是这个可执行文件包装了一些混淆产品,但这种特定的二进制文件根本没有似乎包装。
我尝试将字符串打入Web搜索,但没有任何出现。我抬头看起来“隐秘的应用程序”,实现这是料斗拆卸的制造者,对IDA的更便宜的替代品。对料斗的演示的一个限制是它无法拆卸自己,所以我试图在料斗演示中打开恶意二进制,看看会发生什么。
是的,事实证明这一字节序列是料斗检测到自身的最少的方式,并且拒绝拆卸它。
似乎这个二进制反向工程霍珀的检测签名的作者,这可能并不是很难给出它是多么困难,以便利用料斗中的DRM试图阻止新手黑客分析他们的代码。
绕过诀窍显然是简单的,因为在拆卸之前覆盖了这个字符串。当然,您也可以在没有问题的情况下使用字面意识到任何其他拆卸。