本文介绍了四种常见的PE文件捆绑技术,包括简单的文件附加、资源包裹、编译器捆绑以及一种未公开的高级方法。详细讲解了每种技术的工作原理,并讨论了相应的检测难点。对于编程和安全领域的人来说,理解这些捆绑技术有助于提升对恶意软件的识别能力。
一、传统的捆绑器
这种原理很简单,也是目前用的最多的一种。就是将B.exe附加到A.exe的末尾。这样当 A.exe被执行的时候,B.exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从jingtao的一篇关于流的文章中得知的。就目前来说,已经没什么技术含量了。
检测方法:稍微懂一点PE知识的人都应该知道。一个完整有效的PE/EXE文件,他的里面都包含了几个绝对固定的特点[不管是否加壳]。一是文件以MZ开头,跟着DOS头后面的PE头以PE/0/0开头。有了这两个特点,检测就变得很简单了。只需利用 UltraEdit一类工具打开目标文件搜索关键字MZ或者PE。如果找到两个或者两个以上。则说明这个文件一定是被捆绑了。不过值得注意的是,一些生成器也是利用了这个原理,将木马附加到生成器末尾,用户选择生成的时候读出来。另外网上流行的多款”捆绑文件检测工具”都是文件读出来,然后检索关键字MZ 或者PE。说到这里,相信大家有了一个大概的了解。那就是所谓的”捆绑文件检测工具”是完全靠不住的一样东西。
二、资源包裹捆绑器
就这原理也很简单。大部分检测器是检测不出来的,但灰鸽子木马辅助查找可以检测出捆绑后未经加壳处理的EXE文件。但一般人都会加壳,所以也十分不可靠。这个学过编程或者了解PE结构的人都应该知道。资源是EXE中的一个特殊的区段。可以用来包含EXE需要/不需要用到的任何一切东西。利用这个原理进行 100%免杀捆绑已经让人做成了动画。大家可以去下载看看。那捆绑器是如何利用这一点的呢?这只需要用到BeginUpdateResource、 UpdateResource和EndUpdateResource这三个API函数就可以搞定。这三个API函数是用来做资源更新/替换用的。作者只需先写一个包裹捆绑文件的头文件Header.exe.头文件中只需一段释放资源的代码。而捆绑器用的时候先将头文件释放出来,然后用上面说的三
最低0.47元/天 解锁文章
扫一扫
2812
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
