AutoIT 变量名在编译为可执行文件后如何存储?

逆向工程 视窗 恶意软件
2021-06-19 03:18:26

我需要为 autoit 恶意软件编写 yara 规则(二进制文件本身不是反编译脚本)

据我所知,实际脚本位于 RCData 的资源部分,但是如何找到表示变量名称的字节?

例如,假设脚本中有一个变量 $MyObviousVariable,我想在二进制文件中为它制定一个 yara 规则,我在哪里可以在二进制文件中找到这个变量 NAME?它在 RCData 里面吗?

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇PE 格式 - 如何删除 IMAGE_IAT_DIRECTORY 并且应用程序仍能正常运行? 下一篇在 android 模拟器中使用 frida 的指令跟踪