847 КБ, энтропия 7.92, IAT — два символа. Ghidra выдал один гигантский блок арифметики. Декомпилятор не врал — реального кода ещё не существовало. Payload распаковывался через четыре техники ATT&CK.Decision tree: энтропия .text < 6.5 и IAT > 20 → статика...
Reverse engineering бинарного кода: системная методология анализа через MITRE ATT&CK
Источник: codeby.net