[求助]cuckoo自动化脱壳,数据分布不连续

哈哈大侠 5天前 104
想通过cuckoo实现自动的脱壳操作。
搭建好cuckoo 2.0.4 ,配置好memory dump ,提交恶意代码后,就得到了dump出来的脱壳文件。
但是我发现cuckoo自动脱壳的文件和手工脱壳的文件不一样。主要区别在于:cuckoo dump出来的文件,仍然按内存中的数据分布来还原了,数据分布在多个地址上,不连率。
有没有办法恢复到手工脱壳文件的工具或思路。

以下是两张对比图:

图1 左边为cuckoo dump ,右为 手工得到
pe的主要区别在重定位表,其他如入口点地址等是一样的。


图2 左边手工脱的是连续的,cuckoo脱壳的已经分布在多个地址了。
求各位大神指导。


上传的附件:
最新回复 (0)
返回