Me estoy iniciando en el análisis de malware y estoy analizando un archivo para ver si está empaquetado u oculto.
Uso de PEview Estoy examinando los encabezados .text, .rdata y .data.
Sé que si hay una gran diferencia entre el Tamaño virtual (consumo de tamaño en la memoria) y el Tamaño en disco, es probable que esté empaquetado.
Mi pregunta es, ¿qué debo concluir de cada escenario?
- Tamaño virtual = Tamaño en disco
- Tamaño virtual > Tamaño en disco (más grande con una cantidad considerable, no solo algunos bits)
- Tamaño virtual < Tamaño en disco (más pequeño con una cantidad considerable, no solo algunos bits)