Как сбросить данные, хранящиеся в куче, в анализируемый файл? - PullRequest
0 голосов
/ 04 августа 2020

Как сказано в названии, недавно я занимаюсь реверс-инжинирингом старого вируса: wannacry. По адресу 0x0040212D он вызовет sub_4014A6.

После этой подпрограммы он расшифрует t.wnry и выделит ему пространство кучи для хранения расшифрованных данных. Как видно из скриншота ниже, это PE-файл.

Мой вопрос в том, как я могу выгрузить данные, хранящиеся в куче, для анализа, потому что даже это «сохранение в файл» не может быть проанализировано другими вредоносными программами? введите описание изображения здесь

большое спасибо!

...