如何自动解包由NSIS基础封装程序保护的恶意样本

文章预览

写在前面的话 加壳程序或加密程序被广泛用于保护恶意软件免遭检测和静态分析，这些辅助工具通过使用压缩和加密算法，使恶意行为者能够为每个活动甚至每个受害者准备独特的恶意软件样本，这增加了防病毒软件的工作难度。对于某些加壳程序，在不使用动态分析的情况下对恶意软件进行分类是一项艰巨的任务。 要分析恶意样本并提取其配置数据（例如加密密钥和命令与控制服务器地址），我们必须先对其进行解包。我们可以通过在沙盒环境（例如CAPE）中运行恶意软件，然后提取内存转储来实现此目的。但是，这种方法有一些缺点。例如，我们通常无法运行获得的转储进行进一步的深入分析，而沙盒模拟本身需要大量时间和资源。 本文研究了一组基于 Nullsoft 脚本安装系统（NSIS）的封装程序，并描述了一种创建可以让我们自动获取解包样本 ………………………………