Desidero creare un antivirus di base per il mio tempo libero. Fondamentalmente ho imparato a conoscere la struttura di base del file EXE (windows). Come estrarre il codice ASM dal file e dall'intestazione PE?Decompilazione EXE in ASM
risposta
È possibile installare Cygwin e utilizzare objdump per decompilare un exe in asm. Assicurati di selezionare i binutils durante l'installazione di cygwin. Dopo l'installazione di Cygwin, è possibile eseguire il seguente da una shell bash:
objdump -Slx yourpgm.exe
Sì, oppure esegui Linux su Virtual Machine e usa objdump lì. Sembra un umor nero;) – zxcat
È possibile utilizzare alcuni gratuiti distrubuted esempio disassembler.for: ollydbg diassembler.
nota: nell'intestazione PE è presente solo un codice eseguibile di stub di MS-DOS.
"nell'intestazione PE è presente solo un codice eseguibile di stub di MS-DOS." E se non ci fosse? Non sai mai dove il virus sceglierà di nascondersi, e le intestazioni vengono anche caricate in memoria, giusto? –
In realtà so che il virus potrebbe iniettare codice nell'intestazione pe ... – Jichao
Perché pensi, hai bisogno di disassemblatore in antivirus ?? – zxcat
Quindi, come posso rilevare la parte del virus? @zxcat come lo faresti? –