UPXもどきを作る#1
(1)
- UPXするとWindows Defenderにマルウェア扱い受けることがある。これは悲しい。どうにかしてマルウェア扱いを受けないようにしたい。
(2)
- UPXでesbasic32.exeを圧縮してみると、UPX0, UPX1, UPX2という3つのセクションができる。これは明らかに「普通」ではない。普通なら、まず「.text」があって、「.data」があって、「.bss」があって、最後に「.idata」がある。・・・ここを見てWindows Defenderはケチをつけてきているのかもしれない。
- 私が、winchars0i.exeを作った時に分かったこととして、セクションは「.text」の一個だけでも許してくれるので(.idataを.textの末尾に入れられる)、.textの一つで何とかできないだろうか?
- とはいえ、一度にあれこれと改造するとたぶん収拾がつかなくなるので、まずは「.text」「.bss」「.idata」の順番にすることを試みよう。具体的にはどうするのかというと、UPX1のセクションの内容の頭に、メモリ転送プログラムを付ける。その後にUPX版のエントリポイントにJMP。これでUPX0, UPX1の順番でロードされたかのように振る舞う。
こめんと欄
![[K Wiki]](k.jpg "[K Wiki]")
