Sto avviando l'analisi del malware e sto analizzando un file per vedere se è imballato o offuscato.
Utilizzo di PEview Sto esaminando le intestazioni .text, .rdata e .data.
So che se c'è una grande differenza tra Dimensione Virtuale (consumo di dimensioni nella memoria) e Dimensione su Disco, probabilmente è imballata.
La mia domanda è, cosa devo concludere da ogni scenario?
- Dimensione virtuale = Dimensione su disco
- Dimensione virtuale > Dimensione su disco (più grande con una quantità considerevole, non solo alcuni bit)
- Dimensione virtuale < Dimensione su disco (più piccola con una quantità considerevole, non solo alcuni bit)