我们继续IDAPython让生活更美好序列,这一部分我们解决逆向工程师日常遇到的问题:提取执行的内嵌代码. 恶意软件会用各种方式存储内嵌可执行代码,有些恶意软件将内嵌代码加到文件附加段,包括PE资源区段,或者存放在恶意软件的缓冲区中. 当遇到这个情况,恶意软件分析者可以有几个选择: 可以动态运行样本在写入和提取的后面下断点或者如果文件存储在资源段,可以使用一些工具比如CFFExplorer 提取资源数据,在IDA中可以高亮选取可疑的二进制数据,然后右键保存想要的提取的数据. 虽然这几个方法都可行…