今回のアライ出し、UnPackerの話

Static Unpackerというのは、実際にPackerによって圧縮されている本来のコード部分に対し、展開に相当する処理を適用して解凍を行うというものである。つまり、圧縮データそのものに操作を加えて抜き出す、ということを行うプログラムのことである。この課題をまる一日やっていたのであるが、コンパイラのエラー出力に対処しながらオフセットを調整したりと、微妙かつ地味なコーディング作業がとても辛かった(苦笑)

http://journal.mycom.co.jp/column/itsecurity/041/index.html

Unpack自動化のキーは「シグネチャ」である。Packerによる解凍コードに一定のパターンを見いだし、そこでコード実行を一時停止(Break)させ、展開されたメモリデータをファイルに出力させる。こうすることで、マルウェア本来のコードだけを取り出し、感染動作の静的解析作業に取りかかることができる。

http://journal.mycom.co.jp/column/itsecurity/041/index.html