恶意软件分析基础-PE文件简单分析记录

最新推荐文章于 2024-08-29 09:07:21 发布
最新推荐文章于 2024-08-29 09:07:21 发布
阅读量1k 收藏 2
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LoopherBear/article/details/106058931
版权
本文详细记录了对PE文件的分析过程,重点探讨了DosHeader、NT_HEADERS及其包含的OPTION_HEADER、DATA_DIRECTORIES_ARRAY,特别是如何解析IMPORT_DIRECTORY和EXPORT_DIRECTORY,以理解PE文件的导入导出机制。
摘要由CSDN通过智能技术生成

PE文件简单分析记录

通常在分析一些样本时会遇到如下程序

Handle hImageBase=LoadLibraryA("Kernel32.dll");
void* aAddr =hImageBase+0x3c;
void* bAddr=aAddr++0x78;

的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。

DosHeader

这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头

在这里插入图片描述
MZ标志开头,表示这个一个PE文件。如果要读取Rich的字符串头信息和ntheader,则需要


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  LoopherBear
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
[网络安全提高篇] 一二五.恶意软件分析PE文件解析和利用Python获取样本时间戳及溯源

				
			

			

				

					杨秀璋的专栏
				

				

					03-07
					
					762
					
				

			

		

		

			
				
前文详细介绍2022 DataCon大数据安全分析恶意样本IOC自动化提取和攻击者画像分析内容。这篇文章将尝试软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析相关基础,且看且珍惜。

			
		

	



                

              
                



	

		

			

				
					
[网络安全提高篇] 一二八.恶意软件分析之利用MS Defender实现恶意样本家族批量标注(含学术探讨)

				
			

			

				

					杨秀璋的专栏
				

				

					04-24
					
					412
					
				

			

		

		

			
				
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础基础,希望您喜欢,且看且珍惜。

			
		

	



                


  
              

                


	

		

			

				
					
PE文件(三)

				
			

			

				

					charge_release的博客
				

				

					08-17
					
					482
					
				

			

		

		

			
				
节表,又叫区段表,区段表是我们直接探索的最后位置了,区段是不需要直接解析的地方。 
区段表存储着PE文件的一些属性,区段表是一个由若干个结构体依次排列组成的,每一个结构体代表着PE文件主体中的一段数据的属性,也就是每一个区段头都对应着PE文件主体的一段数据,这段数据叫做节或者叫区段,区段表规定了区段(节)的属性。 
下面是节的定义typedef struct _IMAGE_SECTION_HEADE

			
		

	





	

		

			

				
					
PE文件

				
			

			

				

					donggui8650的博客
				

				

					09-13
					
					123
					
				

			

		

		

			
				
参考文献:https://msdn.microsoft.com/en-us/magazine/ms809762.aspx
https://msdn.microsoft.com/en-us/magazine/bb985992.aspx
PE文件到内存的映射:http://www.cnblogs.com/qintangtao/archive/2013/01/28/2880606.html...

			
		

	



		

			
		



	

		

			

				
					
恶意软件分析与防御:网络安全技术的新篇章

					
最新发布

				
			

			

				

					A526847的博客
				

				

					08-29
					
					477
					
				

			

		

		

			
				
恶意软件是指未经用户同意,故意在计算机系统上执行恶意行为的程序。根据其功能和攻击方式的不同,恶意软件可分为多种类型,包括病毒、蠕虫、特洛伊木马、勒索软件、无文件恶意软件、挖矿劫持、供应链攻击、多态恶意软件、变形恶意软件、基于人工智能和机器学习的恶意软件等。病毒:能够自我复制并感染其他程序的恶意软件,通常通过电子邮件附件、损坏的下载或软件漏洞传播。勒索软件:加密受害者的计算机系统文件,要求支付赎金以恢复访问权限,是当前最具危害性的恶意软件之一。无文件恶意软件

			
		

	





	

		

			

				
					
恶意软件PE文件重建指南

				
			

			

				

					weixin_33755649的博客
				

				

					03-08
					
					430
					
				

			

		

		

			
				
左懒 · 2015/09/28 9:43http://int0xcc.svbtle.com/a-guide-to-malware-binary-reconstruction在分析恶意软件或对恶意软件进行脱壳的时候,我们经常会遇到重建PE文件的需求。现在大多数自动化的PE重建工具虽然很棒,但并不能针对每一种情况,有时候需要我们自己手动重建PE文件。在这篇博客中,我们将介绍一些重建PE文件的方法。0x...

			
		

	





	

		

			

				
					
PE文件格式

				
			

			

				

					HappyTree的专栏
				

				

					01-06
					
					1471
					
				

			

		

		

			
				
 【翻译】“PE文件格式”1.9版 完整译文(附注释)=========================================================原著:Bernd. Luevelsmeyer                              翻译:ah007[注意:本译文的所有大小标题序号都是译者添加,以方便大家阅读。圆圈内的数字是注释的编号,其中注释②译自微软的

			
		

	





	

		

			

				
					
Python-PEpper一种开源工具用于对可执行文件进行恶意软件静态分析

				
			

			

				

					08-10
				

			

		

		

			
				
Python的生态系统中有许多强大的库,如pykd(用于调试)、pefile(解析PE文件格式)和capstone(反汇编引擎),这些都可能被集成到PEpper中,以支持深入的恶意软件分析PEpper的主要功能可能包括:  1. 文件解析...

			
		

	





	

		

			

				
					
PE文件结构分析

				
			

			

				

					11-27
				

			

		

		

			
				
总结,PE文件结构分析是理解和操纵Windows程序的基础。从DOS头到PE头,再到各个组成部分,每一个细节都反映了程序的构建方式和运行机制。对于IT专业人士,尤其是从事逆向工程和安全分析的人来说,深入理解PE文件结构...

			
		

	





	

		

			

				
					
pe文件

				
			

			

				

					eyesye
				

				

					10-22
					
					214
					
				

			

		

		

			
				

  PE文件被称为可移植的执行体是Portable Execute的全称,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)  一个操作系统的可执行文件格式在很多方面是这个系统的一面镜子。虽然学习一个可执行文件格式通常不是一个程序员的首要任务,但是你可以从这其中学到大量的知识。在这篇文章中,我会给出 Micro...

			
		

	





	

		

			

				
					
PE文件(一)

				
			

			

				

					charge_release的博客
				

				

					08-16
					
					586
					
				

			

		

		

			
				
PE文件是指某一种格式的文件,exe,dll,sys等等 ,都是PE格式的文件PE文件大体可以分为两部分,头和主体,两个部分都会在内部进行细分,头由几个结构体组成,含这个文件一些描述信息,主体由多个段组成,包含文件的可执行代码和一些执行时要使用的资源,数据等等。 
下面这张网上找的图作为参考 
 
首先我们来看DOS头,DOS头是用来兼容DOS系统的,定义如下typedef struct _I

			
		

	





	

		

			

				
					
深入解析PE文件实例:从hello.exe到pe_map.c

				
			

			

				

					
				

			

		

		

			
				
了解PE文件格式,有助于开发者进行程序调试、逆向工程、恶意软件分析等操作。"  从给定的文件信息中,我们可以提取以下几个重要的知识点:  1. PE文件格式概述:PE文件格式是微软Windows操作系统用于可执行文件、...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值