内核级病毒与木马攻防:windows可执行文件结构解析及常用工具

最新推荐文章于 2023-07-29 20:30:00 发布
最新推荐文章于 2023-07-29 20:30:00 发布
阅读量857 收藏 6
点赞数 2
分类专栏: 内核级病毒与木马攻防战 文章标签: 黑客 windows 代码分析工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyler_download/article/details/107607622
版权

大多数人使用windows系统,相必对其.exe结尾的文件印象深刻,执行任何程序时,你双击该文件即可,这个文件就是系统的可执行文件,我们需要了解其组成结构才能对其进行侵入,劫持或注入恶意代码。

.exe文件也叫PE文件,它由一系列段头和段来组成。它一开始是一系列段头数据结构,用于描述各个段的相关性质,接下来就是包含代码和数据的各种段。有几个段特别值得注意,.text段包含CPU可以执行的指令,其他所有段包含数据或者是辅助CPU执行该段里面指令的相关信息,这个段是唯一包含可执行代码的段。.rdata包含引入和导出的数据,同时它还包含只读数据。.data段包含程序的全局数据,也就是这里的数据代码段中的代码可以随意访问,而程序用到的局部数据则不会存储在这个段。.rsrc段包含程序资源,例如菜单,图标,字符串等。

在windows系统上,最常用的查看PE结构的程序叫PEView,其界面如下:

屏幕快照 2020-07-25 上午11.18.20.png

左边面板展示了它读取.exe文件所获得的各种头部信息,一开始的IMAGE_DOS_HEADER和MS_DOS sub program没有意义,接下来的段头是IMAGE_NT_HEADERS里面的IMAGE_FILE_HEADER段就包含了有关该exe文件的一些重要信息,例如展示了该文件的编译时间,当然这个时间可以被更改,黑客往往会将恶

了解本专栏 订阅专栏 解锁全文
tyler_download
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
NE365电子书(研究方向:病毒系统内核、逆向破解等)
03-10
本书主要目的是介绍病毒技术以及我们自己的作品。 需要注意的是本书不是教程,或许不能助初手迅速入门,因为此类技术的学习决非朝夕可就;或许也不能助大侠更上一层楼,因为我们自己也有待提高。 但是,我们给大家展示的是我们自己的心血以及我们的道路,因为这是我们坚持的也是为之奋斗的! 在此声明严禁利用本书内容进行非法活动,如若出现,我等概不负责 本书中绝对不含有病毒或者样本,只提供下载链接,书中的有些病毒代码或许被杀毒软件误报,请大家留意!
idea怎么从远程分支更新代码_【通告更新】Windows Type 1字体解析远程代码执行漏洞安全风险通告第二次更新...
weixin_39652136的博客
11-24 83
微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交,公告中指出这两枚漏洞已遭在野利用。鉴于漏洞危害很大,建议客户关注微软通告并采取缓解措施。本次更新内容如下:增加了奇安信产品解决方案奇安信 CERT漏洞描述微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管...
access 打印预览 代码_CVE20201030:Windows打印假脱机处理程序特权提升漏洞分析
weixin_39568659的博客
11-27 383
点击上方蓝字关注我们2020年5月,FusionX安全研究人员向微软安全响应中心上报了一个特权提升漏洞(CVE-2020-1030)。该漏洞影响Windows假脱机打印服务(Print Spooler)中实现的应用程序逻辑。非特权用户可以利用该漏洞执行特权提升,以SYSTEM身份执行任意代码。该漏洞利用串接了多个原语,以将任意DLL加载到假脱机打印进程中。这篇文章详细介绍了技术细节,以及...
Windows下检查exe文件的依赖关系
技海淘金
10-29 2316
由于工作需要,有时会实用VisualStudio或Cygwin的gcc编译小的exe程序。 自己使用倒是没什么大问题,但有时候将exe程序提供给别人使用是,由于对方的系统环境比较“纯净”,没有vs,也没有cygwin,程序可能出现无法正常启动的情况。 这里分享一个小技巧来检查exe程序到底依赖哪些DLL,我们将程序外发的时候,只要将这些DLL文件也放在一起就可以了。 对于VC编译的程序,使用...
系统漏洞检测】Windows分析工具
ssrf
10-20 1830
文章目录一、Sherlock二、PrivescCheck三、Windows补丁在线查询 一、Sherlock GitHub:https://github.com/rasta-mouse/Sherlock 直接运行powershell时提示“无法加载文件ps1,因为在此系统中禁止执行脚本。 主要是由于没有权限执行脚本。 get-help about_signing 提示了解执行策略 get-executionpolicy 查看到当前策略 set-executionpolicy remot
Win 查看系统架构
夜空的xin的博客
09-11 4446
Windows 查看系统架构 开始菜单——命令提示符 输入 systeminfo 图上所指即为该系统架构
如何查看可执行程序和动态库文件的架构和平台信息以及如何根据信息区分程序对应的架构和适用的平台
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
07-29 1239
如何查看可执行程序和动态库文件的架构和平台信息以及如何根据信息区分程序对应的架构和适用的平台
几款查看dll和exe信息的小工具
热门推荐
wgwg1985的专栏
11-18 2万+
windows开发过程中需要查看一些已有的exe或dll的信息,例如exe调用了哪些dll,dll又有哪些导出函数等。找到了一些比较实用的工具,在这里总结一下: 1. Dependency Walker      这是VC6自带的一款工具,它可以查看exe程序调用了哪些dll,dll里包含了哪些函数,这个exe调用了该dll的哪些接口。比较通用的一款工具,但对部分exe程序,显示出来的dll
windows下查看某个运行程序(或进程)的命令行参数
weixin_38166726的博客
06-24 733
windows下查看某个运行程序(或进程)的命令行参数使用下面的命令:wmic process get caption,commandline /value如果想查询某一个进程的命令行参数,使用下列方式:wmic process where caption=”svchost.exe” get caption,commandline /value这样就可以得到进程的可执行文件位置等信息。...
一个感染型木马病毒分析(一)
Fly20141201. 的专栏
08-04 6436
一、 样本信息 样本名称:resvr.exe病毒母体) 样本大小:70144 字节 病毒名称:Trojan.Win32.Crypmodadv.a 样本MD5:5E63F3294520B7C07EB4DA38A2BEA301 样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895 电脑中了该病毒的典型的特
病毒分析工具 FFI PE 木马样本进行系统处理
01-16
工具是一款辅助进行病毒分析工具,它包括各种文件格式识别功能,使用超巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。 详细功能说明如下: 一、查壳功能: 支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。 注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。 二、脱壳功能: 如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。 其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。 主要功能有:
win32下PE文件(可执行文件)的常用分析与调试工具
05-02
内含多种工具,可对win32平台下的PE文件进行调试和分析,有利于进行PE文件的学习与深入研究
fibratus:Windows内核探索和跟踪的现代工具
02-06
纤颤Windows内核探索和可观察性的现代工具 ••什么是Fibratus? Fibratus是用于探索和跟踪Windows内核工具。 它使您可以捕获系统范围内的例如进程生命周期,文件系统I / O,注册表修改或网络请求以及许多其他可...
windows内核驱动漏洞挖掘工具.rar
03-16
IOCTL Fuzzer是一个自动化的windows内核驱动漏洞挖掘工具,它利用自己的驱动hook了NtDeviceIoControlFile,目的是接管整个系统所有的IOCTL请求。当处理IOCTL请求时,一旦符合配置文件中定义的条件,IOCTL Fuzzer会用...
Windows CE内核启动分解解析
01-19
Windows CE内核启动分析  移植或者创建一个BSP,也许需要先熟悉Windows CE的内核启动过程。  目录  基于ARM的Windows CE内核启动分析1  1.startup.s2  2.KernelStart2  2.1 ARMInit()3  2.1.1 OALIntrInit3 ...
5.1.2600_WindowsXP内核结构_vim_
09-29
VIM配置文件 区分大小写
C语言嵌入式Linux编程第7期:Linux内核常用的数据结构与面向对象思想
06-10
学习嵌入式一段时间了,开始学习Linux...本期课程主要侧重于数据结构基本功的学习和Linux内核中的面向对象思想。掌握了这两项技能,再去分析Linux内核中复杂的子系统和驱动代码,相信你会跟以前有不一样的体验和收获。
ELF文件程序表头和代码实现ELF文件加载
tyler_download的专栏
12-12 4585
前面章节我们了解了ELF文件的头部结构,这次我们深入了解另一个非常重要的数据结构,那就是程序表头。操作系统严重依赖该结构来加载ELF文件或是实现动态链接。程序表头反映的是当ELF加载到内存后所形成的“视图”或结构,也就是说ELF文件存在硬盘上或者被加载到内存,它展现出来的形态不一致。 我们先看程序表头的数据结构: typedef struct { unit32_t p_type; #数据类型 uint332_t p_flags; #标志位 uint64_t p_offs
内核木马病毒攻防:windows恶意代码分析入门
tyler_download的专栏
07-10 2138
本节帮助读者入门windows上如何对恶意软件或病毒做初步分析分析分两种,一种叫静态分析,也就是通过直接读取病毒或恶意程序的可执行文件分析它的运行原理,一种是动态分析,也就是在病毒或恶意程序正在运行的情况下,监视其一举一动,通过观察它在系统中的运行情况来分析它的目的和原理。 本节介绍基本的静态分析方法,该方法简单易行,但作用有限,要想跟病毒或恶意程序斗智斗勇最终还得依赖于动态分析。静态分析的第一种方法就是直线读取病毒或恶意程序的可执行文件,从中抽取关键信息。很多病毒或恶意程序的作者为了快速实现其非法目的
linux内核探秘:深入解析文件系统和设备驱动的架构与设计 pdf csdn
最新发布
08-01
《Linux内核探秘:深入解析文件系统和设备驱动的架构与设计》是一本非常有价值的书籍。它深入探索了Linux操作系统内核中文件系统和设备驱动的架构和设计。 这本书首先介绍了Linux内核的基本概念和组成部分。它详细描述了Linux文件系统的设计原理和实现方式。文件系统是操作系统用于管理和组织文件的重要组成部分。该书详细介绍了Linux内核中常见的文件系统类型,如Ext4、Btrfs和F2FS,并深入探讨了文件系统的数据结构、缓存和访问控制等关键方面。 另外,该书还详细解析了Linux内核中的设备驱动程序。设备驱动程序是操作系统与硬件之间的桥梁。这本书介绍了设备驱动程序的基本原理和工作方式,包括设备驱动模型、设备节点和设备文件系统等。同时,书中还讨论了设备间通信和驱动程序的编写方法,并提供了实际案例进行说明。 这本书的特点是理论结合实践。书中提供了大量的示例代码和实际案例,让读者可以更好地理解和应用所学知识。此外,书中还提供了一些常见问题和解决方案,帮助读者更好地解决实际问题。 总之,《Linux内核探秘:深入解析文件系统和设备驱动的架构与设计》是一本对于想要深入了解Linux内核中文件系统和设备驱动设计的读者非常有价值的书籍。无论是对于专业人士还是对于Linux爱好者来说,它都是一本不容错过的好书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值