-
-
[求助]cuckoo自动化脱壳,数据分布不连续
-
发表于: 2017-10-12 16:00
-
想通过cuckoo实现自动的脱壳操作。
搭建好cuckoo 2.0.4 ,配置好memory dump ,提交恶意代码后,就得到了dump出来的脱壳文件。
但是我发现cuckoo自动脱壳的文件和手工脱壳的文件不一样。主要区别在于:cuckoo dump出来的文件,仍然按内存中的数据分布来还原了,数据分布在多个地址上,不连率。
有没有办法恢复到手工脱壳文件的工具或思路。
以下是两张对比图:
图1 左边为cuckoo dump ,右为 手工得到
pe的主要区别在重定位表,其他如入口点地址等是一样的。
图2 左边手工脱的是连续的,cuckoo脱壳的已经分布在多个地址了。
求各位大神指导。
搭建好cuckoo 2.0.4 ,配置好memory dump ,提交恶意代码后,就得到了dump出来的脱壳文件。
但是我发现cuckoo自动脱壳的文件和手工脱壳的文件不一样。主要区别在于:cuckoo dump出来的文件,仍然按内存中的数据分布来还原了,数据分布在多个地址上,不连率。
有没有办法恢复到手工脱壳文件的工具或思路。
以下是两张对比图:
图1 左边为cuckoo dump ,右为 手工得到
pe的主要区别在重定位表,其他如入口点地址等是一样的。
图2 左边手工脱的是连续的,cuckoo脱壳的已经分布在多个地址了。
求各位大神指导。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
