Die statische Analyse zeigt hohe Entropie und kaum lesbare Imports oder Strings — die Probe wirkt gepackt. Was tust du?
Kurzantwort
Packing verbirgt den echten Code, daher sind hohe Entropie plus fehlende Imports ein Zeichen zum Entpacken — erkenne den Packer und dumpe das entpackte Abbild aus dem Speicher, sobald der Loader gelaufen ist, und analysiere dann die echte Payload. Unlesbare Strings sind ein Beleg für Evasion, nicht für Harmlosigkeit. Es als Fehlalarm zu deklarieren oder die Endung umzubenennen ignoriert eine aktiv verschleierte Probe. Die Verschleierung selbst ist ein starker bösartiger Indikator, der untersucht gehört.
Diese Frage trennt Analysten, die Evasion verstehen, von jenen, die an der ersten Wand stehenbleiben. Hohe Entropie und eine fast leere Import-Tabelle sind keine Sackgasse — sie sind der Fingerabdruck bewusster Verschleierung, den ein Senior-Analyst als Signal zum Nachbohren liest.
Warum Identifizieren und Entpacken richtig ist
Packer komprimieren oder verschlüsseln die echte Payload und lassen statischen Werkzeugen nur einen kleinen Stub (den Loader) sichtbar. Genau deshalb siehst du hohe Entropie und keine sinnvollen Strings oder Imports — der eigentliche Code entsteht erst zur Laufzeit. Der richtige Schritt ist, den Packer zu identifizieren (Entropiemuster, Sektionsnamen, Packer-Erkennungswerkzeuge) und dann den Originalcode zurückzugewinnen. Bei vielen Packern ist der zuverlässigste Weg das dynamische Entpacken: Lasse den Loader in deinem isolierten Labor laufen, bis er die Payload in den Speicher dekomprimiert hat, dann dumpe das entpackte Abbild und rekonstruiere die Import-Tabelle, damit es analysierbar wird. Nun arbeiten deine statischen Werkzeuge an der echten Binärdatei.
Warum die anderen Optionen falsch sind
- Schlussfolgern, sie sei harmlos, weil Strings unlesbar sind. Das verdreht die Beweise. Legitime Software wird selten so gepackt, dass alle Imports verschwinden; aggressives Packing ist bei Malware weit häufiger. Unlesbarkeit ist verdächtig, nicht entlastend.
- Als Fehlalarm melden. Ein Fehlalarm bedeutet, die Erkennung lag falsch. Hier verbirgt die Probe aktiv ihr Verhalten — das Gegenteil von harmlos. Das Schließen lässt eine echte Bedrohung durch.
- Endung umbenennen und neu scannen. Die Endung hat nichts mit dem gepackten Inhalt zu tun. Du erhältst dasselbe Ergebnis und verschwendest Zeit, während die verschleierte Payload ungeprüft bleibt.
Worauf Interviewer achten
Das Senior-Signal ist, Verschleierung als Information zu behandeln: Du erkennst Packing, unterscheidest verbreitete Packer von eigenen Protectoren und weißt, dass das Speicher-Dumpen nach dem Loader den statischen Kampf mit dem Stub schlägt. Zusatzpunkte für Import-Rekonstruktion und Anti-Entpack-Tricks. Geprüft wird die Beharrlichkeit: Du akzeptierst „ich kann es nicht lesen" nicht als Antwort, wenn die Malware dich erkennbar zum Aufgeben bringen will.
Wahrscheinliche Anschlussfragen
- Wie unterscheidest du einen verbreiteten Packer (UPX) von einem maßgeschneiderten oder kommerziellen Protector, und warum ändert das deinen Ansatz?
- Warum ist das Dumpen aus dem Speicher nach dem Lauf des Loaders bei vielen Protectoren zuverlässiger als statisches Entpacken?
- Wie reparierst du nach dem Erhalt des entpackten Abbilds die Import-Tabelle, damit der Dump analysierbar wird?