软件安全基础之PE文件格式

最新推荐文章于 2023-09-01 09:31:29 发布
最新推荐文章于 2023-09-01 09:31:29 发布
阅读量694 收藏 3
点赞数
分类专栏: 软件安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Embiid99/article/details/116357526
版权

软件安全基础之PE文件格式

值复习《软件安全》这门课之际,PE文件格式可谓是重中之重,在这里,我便结合教材和PPT,对相关知识进行一个小小的梳理。如有不当之处,希望能被指正!

什么是PE文件格式?

PE就是Portable Executable,它是Win32可执行文件的标准格式;

PE文件格式与恶意软件的关系

文件感染的定义:使目标PE文件具备“或启动”病毒功能,但不破坏目标PE文件原有功能和外在形态(如图标等);

病毒代码与目标PE文件融为一体的途径:代码植入、控制权获取、图标更改。
注:这里的代码植入可以分为两种,主动植入和被动植入,主动植入即是程序自身利用系统地正常功能或缺陷将攻击代码植入到目标中,而不需要人的干预;被动植入即是恶意软件将攻击代码植入到目标主机时,需要借助用户的操作——通常是和社会工程学的攻击方法相结合,诱使用户触发漏洞。
权限提升:
首先,访问控制:防止未经授权使用资源,包括防止以非授权方式使用资源;
访问权限:访问控制的访问规则,用来区别不同访问者对资源的访问权限。
而所谓的权限提升就是攻击者通过攻击某些有缺陷的系统程序,把当前较低的账户权限提升到更高级别的用户权限。
由于管理员的权限较大,通常将获得管理员权限看做是一种特殊的权限提升。

病毒被运行的流程

  1. 用户点击(或系统自动运行)HOST程序
  2. 装载HOST程序到内存中
  3. 通过PE文件的AddressOfEntryPoint和ImageBase之和来定位第一条语句的位置
  4. 从第一条语句开始执行(病毒代码可能在此时,也可能在HOST代码运行过程中获得控制权)
  5. 病毒体代码主体执行完毕,将控制权交换给HOST程序
  6. HOST程序体继续执行

在这里提到一个概念叫AddressOfEntryPoint,ImageBase,这是两个在可选映像头中的字段。可选映像头是PE文件结构里面的一个组成部分,包含了PE文件的逻辑分布信息。

AddressOfEntryPoint是指程序开始执行的地方。这是一个RVA,这个地址通常指向代码节中的一个位置。在计算机病毒中,这个域非常关键。一般来说,计算机病毒可以通过修改这个值来指向自己的病毒体的开始代码以获得控制权。在修改这个域之前,病毒会保存原来的阈值,以便病毒体执行完之后,通过jmp语句跳回HOST原先程序入口处继续运行。

ImageBase则是可执行文件的默认转入基地址。

PE文件格式总体结构

  1. DOS小程序
    PE结构中的MZ文件头和DOS插桩程序实际上就是一个在DOS环境下显示提示信息的小程序。MZ文件格式中,开始两个字节是4D5A(这两个字节在后面的病毒感染中非常重要,在病毒通过添加新节的感染模式中,首先两步便是判断目标文件开头两个字节是否为MZ以及判断PE文件标记是否为PE)

  2. 紧跟着DOS小程序后的便是PE文件的NT映像头,它由三个部分组成:字串、映像文件头、可选映像头

  3. 紧跟NT映像头的是节表。节表实际上是一个结构数组,其中每个结构包含了一个节的具体信息。该数组成员的数目由映像头文件结构中的NumberOfSections域的域值来决定

  4. 节紧跟在节表之后,PE文件一般都会有多个节且有多个种类:如代码节、引出函数节、引入函数节、已初始化的数据节、未初始化的数据节、资源节和重定位节等。

  • 代码节 一般名为.txt或.code,该节含有程序的可执行代码。每个PE文件都有代码节。在代码节中,还有一些特别的数据,是作为调用引入函数之用。
  • 引出函数节(.edata) 我们知道病毒在感染其它文件时,是不能直接调用API函数的,因为计算机病毒往其它HOST程序中所写的知识病毒代码节的部分。而不能保证HOST程序中一定有病毒所调用的API函数,这样就需要我们自己获取API函数的地址。有一种暴力的方法就是搜索Kernal32模块,利用引出函数节的数据获得API函数的地址。
    具体方法是,首先在AddressOfNames中找到相应的字符串进行比较,如果匹配记住其序号为x;通过该序号从AddressOfNamesOrdinals指向的序号表中的第x个成员,找到我们所需要的函数地址在AddressOfFunctions字段所指向的数组中的具体位置y。
  • 引入函数节(.idata) 它包含有从其他DLL中引入的函数。引入函数节也可能被病毒用来直接获取API函数地址。比如,直接修改或者添加所需函数的IMAGE_IMPORT_DESCRIPTOR结构后,当程序调入内存时,便会将所需函数的地址写入IAT表中公病毒获取,对于病毒来说,获取了LoadLibrary及GetProcAddress函数,基本上就可以获得所有其他的API函数了。
  • 已初始化的数据节中存放的是在编译时刻就已经确定的数据
  • 未初始化的数据节是存放的未初始化的全局变量以及静态变量。节的名称一般是.bbs
  • 资源节 这个节一般用来存放图表,对话框等程序要用到的资源
  • 重定位节 重定位节中存放了一个重定位表。这个技术非常重要。因为当病毒感染不同的HOST程序后,由于病毒代码依附到HOST程序中的位置各不相同,因此随着不同的HOST装入内存后,病毒中的各个变量在内存中的位置会随着HOST大小的不同而发生变化。比较简单的方法是通过(Base-offset V_start)+offset Var_Lable,这个整体就代表Var变量在HOST中时的实际内存地址。
Embiid99
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 751
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
PE文件解析器
08-20
简易的基于文件操作的PE文件解析器源码
软件安全学习笔记(7):PE文件总体格式
白学病患者的专栏
09-11 801
1、MS-DOS MZ文件头(64个字节) 定位PE文件头开始位置,也用于PE文件合法性检测。最后四个字节(3C处):PE文件头开始位置 2、DOS Stub 一段小的DOS程序 3、PE header:由字串(Signature)、影像文件头(FileHeader)、可选映像头(OptionalHeader)三部分组成 (1)字串:四个字节,值为50h,45h,
【恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1505
【恶意代码与软件安全】课程与实验
PE文件格式
测试
08-10 220
1.介绍   PE文件是Windows下使用的可执行文件格式PE文件是指32位的可执行文件,也称PE32,64位称PE+或PE32+,是PE32的一种扩展形式(不是PE64) 2.PE文件格式 种类 主扩展名 可执行系列 EXE、SCR 库系列 DLL、OCX、CPL、DRV 驱动程序系列 SYS、VXD 对...
PE文件格式详解
最新发布
音视频图形编程学习乐园
09-01 1645
本文描述了Windows系统的PE文件格式
windows pe文件格式
07-26
2. **恶意软件分析**:网络安全专家利用PE文件格式来识别和分析恶意软件的行为特征。 3. **软件调试**:开发人员在调试阶段会利用PE文件中的调试信息来定位问题。 4. **动态链接库管理**:PE文件格式支持动态链接库...
PE文件结构与计算机病毒.pdf
08-26
PE文件的加载原理整个复杂的过程都是由PE装载器完成的,PE装载器将PE文件文件映射的方式从磁盘映射到内存,在映射时PE文件被加载到内存的开始位置叫做基址,我们用lPImageBase来表示。我们首先需要知道我们如何将一个PE文件加载到内存,并获得基址 .......
PE文件病毒示例程序
03-22
很简单的PE文件病毒示例
windows PE 文件格式
07-04
Windows PE文件格式作为Windows平台的核心组成部分之一,在软件开发、系统管理和安全防护等领域发挥着重要作用。通过深入了解PE文件格式的结构和特性,不仅可以提高程序开发效率,还可以增强系统的稳定性和安全性。
57.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)1
08-04
【网络安全自学篇】PE文件逆向之什么是数字签名及Signtool签名工具详解(一) 在计算机安全领域,数字签名是验证软件来源可靠性和完整性的关键机制。它是一种电子形式的签名,通过加密算法确保软件未经篡改且由可信...
PE文件结构的一些基础知识
Programming Note
08-02 1317
         原来在DOS操作系统上面的可执行文件(COM)只包含代码,程序被载入后第一句就是一条指令。这样让程序很不灵活,所有的代码,数据,堆栈都存放在一起,程序不能跨段操作。所有Windows操作系统为了解决这个问题就引入了PE文件结构。  PE文件的基本结构 PE文件头:包括文件的入口,堆栈位置,重定位表等信息
实验六——PE病毒分析
热门推荐
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础基础性文章,希望对您有所帮助~
PE文件格式详解——软件安全知识
"该资源是关于软件安全的PPT,主要介绍了PE文件格式,它是Windows操作系统中用于可执行文件、驱动程序以及库文件的一种二进制格式。" 在Windows操作系统中,PE(Portable Executable)文件格式是核心的二进制文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值