Duvida sobre unpacking e resolucao de bibliotecas dinamicamente

[unc4nny]

Oi.

Esse dias eu ouvi falar do banker trojan que vai pelo nome de IcedId. Saiu bastante noticias sobre ele na epoca e entao eu peguei uma sample e fui tentar brincar com ela.

O malware aparentemente tem 2 stages de unpacking, o primeiro, depois de muito google-fu e leitura, eu consegui passar. Agora o segundo eu to com mais dificuldades.

O primeiro estagio do unpacking me devolveu um arquivo PE, entao eu abri ele no PE estudio e um indicators  diz o seguinte:

1525,The file contains another file,type: unknown, location: overlay, offset: 0x00019C00,1

Depois, eu fui dar uma olhada nesse offset dentro do arquivo, e nao achei nada, nao soh isso, mas o arquivo nao tem import table.  Depois de uma pesquisada eu vi que existe uma parada chamada Dynamic Library Resolution, onde um malware faz a resolucao da import table em tempo de execucao. Talvez seja ate o q esta acontecendo aqui, mas como eu sei eh isso que esta acontecendo e nao eu que fiz cagada? Enfim, o PEBear diz que as secoes do binario estao dispostas dessa forma:

Eu nao consegui achar nada dumpando o binario. Em disco o offset indicado pelo pestudio eh o final da .reloc, entao acho que nao eh la que eu preciso olhar. O PEBear tambem diz que em memoria, a secao .data comeca no offset 0x3000, mas tem tamanho 0x18800, entao eu imagino que o arquivo que eu estou procurando deva estar la.

O problema eh que a secao nao aparece no binario em disco, ja que a secao nao existe nele, e eu nao to conseguindo achar no binario em memoria. Alguem tem uma ideia boa por onde comecar?

Se alguem quiser o hash da sample, avisa, eu nao sei se eu posso postar aqui auiasuiduas