Как сказано в названии, недавно я занимаюсь реверс-инжинирингом старого вируса: wannacry. По адресу 0x0040212D он вызовет sub_4014A6.
После этой подпрограммы он расшифрует t.wnry и выделит ему пространство кучи для хранения расшифрованных данных. Как видно из скриншота ниже, это PE-файл.
Мой вопрос в том, как я могу выгрузить данные, хранящиеся в куче, для анализа, потому что даже это «сохранение в файл» не может быть проанализировано другими вредоносными программами? введите описание изображения здесь
большое спасибо!