Ho un dump della memoria e contiene del malware
e quando uso il comando male, quasi tutti i processi che mostra hanno un LOT di ADD [EAX], comandi di assemblaggio AL, so x86 ma non capisco perché un processo ha così tanti aggiunge come questo, e presumo che AL sia un registro, ma ancora non capisco il significato di questo
questa è una bandiera rossa?
ecco uno di questi:
Process: conhost.exe Pid: 1800 Address: 0x540000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6
0x00540000 e9 ec 01 26 75 00 00 00 00 00 00 00 00 00 00 00 ...&u...........
0x00540010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x00540020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x00540030 00 00 8b ff 55 8b ec e9 48 3b e2 75 00 00 00 00 ....U...H;.u....
0x00540000 e9ec012675 JMP 0x757a01f1
0x00540005 0000 ADD [EAX], AL
0x00540007 0000 ADD [EAX], AL
0x00540009 0000 ADD [EAX], AL
0x0054000b 0000 ADD [EAX], AL
0x0054000d 0000 ADD [EAX], AL
0x0054000f 0000 ADD [EAX], AL
0x00540011 0000 ADD [EAX], AL
0x00540013 0000 ADD [EAX], AL
0x00540015 0000 ADD [EAX], AL
0x00540017 0000 ADD [EAX], AL
0x00540019 0000 ADD [EAX], AL
0x0054001b 0000 ADD [EAX], AL
0x0054001d 0000 ADD [EAX], AL
0x0054001f 0000 ADD [EAX], AL
0x00540021 0000 ADD [EAX], AL
0x00540023 0000 ADD [EAX], AL
0x00540025 0000 ADD [EAX], AL
0x00540027 0000 ADD [EAX], AL
0x00540029 0000 ADD [EAX], AL
0x0054002b 0000 ADD [EAX], AL
0x0054002d 0000 ADD [EAX], AL
0x0054002f 0000 ADD [EAX], AL
0x00540031 008bff558bec ADD [EBX-0x1374aa01], CL
0x00540037 e9483be275 JMP 0x76363b84
0x0054003c 0000 ADD [EAX], AL
0x0054003e 0000 ADD [EAX], AL
anche qual è l'indirizzo JMP? è all'interno dello spazio di memoria del processo e indica un'istruzione?
come posso esaminare quell'indirizzo?