2015_лекции / Лекция№3.2_2015
.pdf
Стратегии разрешения импорта функций
Сохранение исходной таблицы импорта при упаковке
=>PE загрузчик сам загрузит нужные данные
Сохранить только одну функцию из каждой библиотеки
С Нет необходимости загружать библиотеки
л нужно разрешить адреса функций из них
о
ж Использование функций LoadLibrary и
н GetProcAddress
о |
=> упаковщик определяет адреса функций самостоятельно |
с Исключить всю информацию об импортируемых
тфункций (иногда и функции LoadLibrary и
ьGetProcAddress )
=> упаковщик самостоятельно определяется определяет адреса функций необходимых для функционирования
Индикаторы упакованной программы
Мало импортируемых функции.
Импортируются только вызовы LoadLibrary и GetProcAddress.
При открытии в дизасемблере (например, IDA Pro) авторматически распознается малая доля кода
Отладчики (OllyDbg) предупреждают о том, что программа может быть упакована
Секции программы имеют названия, указывающие на наличие определенного упаковщика (например, UPX0).
Программа имеет аномальные значение параметров секций
(например, Size of Raw Data == 0 и Virtual Size != 0).