恶意软件分析基础-PE文件简单分析记录

最新推荐文章于 2024-02-01 11:43:47 发布
VIP文章 最新推荐文章于 2024-02-01 11:43:47 发布
阅读量1k 收藏 2
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loopherbear/article/details/106058931
版权

PE文件简单分析记录

通常在分析一些样本时会遇到如下程序

Handle hImageBase=LoadLibraryA("Kernel32.dll");
void* aAddr =hImageBase+0x3c;
void* bAddr=aAddr++0x78;

的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。

DosHeader

这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头

在这里插入图片描述
MZ标志开头,表示这个一个PE文件。如果要读取Rich的字符串头信息和ntheader,则需要

ptrRich = base+0x40,这里就指向了This is programe cannot be run in DOS mode 的信息
ntheader = base+0x3c ;这里会获得ntheader的地址
最低0.47元/天 解锁文章
LoopherBear
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全提高篇] 一二五.恶意软件分析PE文件解析和利用Python获取样本时间戳及溯源
杨秀璋的专栏
03-07 513
前文详细介绍2022 DataCon大数据安全分析恶意样本IOC自动化提取和攻击者画像分析内容。这篇文章将尝试软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析相关基础,且看且珍惜。
Zero Wine Tryouts:一个开源的恶意软件分析工具-开源
07-03
Zero Wine Tryouts 是一款开源恶意软件分析工具。 只需通过网络界面上传您的可疑文件(例如 Windows 可执行文件、PDF 文件)并让其进行分析。 更多信息请访问项目网站:http://zerowine-tryout.sourceforge.net/
详解基于机器学习的恶意代码检测技术
qq_44005305的博客
02-23 1247
首先介绍下机器学习的基本概念,如下图所示,往分类模型中输入某个样本特征,分类模型输出一个分类结果。这就是一个标准的机器学习检测流程。机器学习技术主要研究的就是如何构建中间的分类模型,如何构造一组参数、构建一个分类方法,通过训练得到模型与参数,让它在部署后能够预测一个正确的结果。训练是迭代样本与标签对的过程,如数学表达式 y=f(x),x表示输入的样本特征向量,y表示标签结果,使用(x,y)对f进行一个拟合的操作,不断迭代减小 y’ 和 y 的误差,使得在下次遇到待测样本x时输出一致的结果。
恶意代码分析实战-PE资源提取
weixin_30614109的博客
01-11 181
场景 1、提取恶意代码中的资源部分内容 思路 存在Loadresource函数的时候说明有一部分内容在资源里。 技术点 Lab1-4 ResourceHacker打开保存资源,载入IDA查看 转载于:https://www.cnblogs.com/17bdw/p/10254660.html...
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析基础性文章,希望您喜欢!技术路上哪有享乐,加油~
PE文件结构 安全分析恶意软件研究 逆向工程 优化与性能调整 兼容性与移植性分析
最新发布
chenhao0568的专栏
02-01 1529
对于软件开发、安全分析、逆向工程等领域的专业人士来说尤其重要。PE文件格式是Windows操作系统中用于可执行文件、动态链接库(DLLs)、以及其他文件类型(如FON字体文件等)的标准格式。:开发者可以更好地理解自己的应用程序如何被操作系统加载和执行,以及如何与操作系统的其他部分交互。这对于性能优化、故障排查和高级功能实现(如动态加载模块)来说至关重要。:安全研究人员和恶意软件分析师需要了解PE文件结构,以便他们可以识别和分析潜在的恶意代码。
PE文件结构详解
神棍之路
07-20 8979
Windows程序的各种界面称为资源,包括加速键(Accelerator)、位图(Bitmap)、光标(Cursor)、对话框(DialogBox)、图标(Icon)、菜单(Menu)、串表(StringTable)、工具栏(Toolbar)和版本信息(VersionInformation)等。执行PE文件前,加载程序在进行重定位的时候,会用PE文件在内存中的实际映像地址减PE文件所要求的映像地址,根据重定位类型的不同将差值添加到相应的地址数据中。...
pe文件结构 基础
weixin_50217210的博客
07-08 684
转自看雪学院
PE文件简介
kabeor的博客
05-01 1万+
PE文件 PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL) PE文件是指32位可执行文件,也称为PE32。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。 结构 (用个网上的图) ...
恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1328
恶意代码与软件安全】课程与实验
PE文件结构详解 --(完整版)
墨鱼菜鸡
07-11 5831
From:https://blog.csdn.net/adam001521/article/details/84658708 PE结构详解:https://www.cnblogs.com/zheh/p/4008268.html PE格式解析-区段表及导入表结构详解:https://blog.csdn.net/qq_30145355/article/d...
手机恶意软件网络行为分析
01-19
分析并提出了手机恶意软件网络行为分析计算方法以及网络侧的实现方案。该方法综合考虑了手机恶意软件网络行为指数以及病毒体行为特征双因素,从而提高了手机恶意软件研判的及时性以及准确性,对现网手机恶意软件实时...
加密流量恶意软件分析在金融场景的实践.pdf
08-10
安全概述 加密流量的异常检测 多模型融合的恶意软件分析 PRS-NTA 斗象&F5联合解决方案
恶意软件分析工具IDA7
04-05
恶意软件分析工具IDA7
levitate:Levitate - 逆向工程和静态恶意软件分析平台 -
06-27
特征字节操作包装开箱解码、编码字符串文件处理文摘浮点型单精度十六进制表示十六进制转储正则表达式(进行中) ExpandIt - 扩展您自己的方法和基础的灵活性。 毫不犹豫地即时加载 NPM 模块调用(异步 [内置回调] 和...
使用x64dbg调试dll程序
LoopherBear的博客
05-26 6710
使用x64dbg调试dll程序 这篇笔记是根据Lab16使用x64dbg调试带参数程序新增加的,记录了如何调试一个dll文件。 在很多时候一些程序会将核心功能放在dll文件内来完成,这样避免程序被查杀或者被逆向分析,主要手段是通过LoadLibrayA函数来加载一个dll文件,同时这个dll的DllMain函数会被调用以此来达到执行dll的程序。 在Windows上要独立执行一个dll程序,那么需要用到rundl32.exe来完成,因此可以借助这个程序来达到调试dll的目的。 分析dll程序的启动方式 这个
Lab16使用x64dbg调试带参数程序
LoopherBear的博客
05-26 3485
Lab16使用x64dbg调试带参数程序 在分析一些样本的时候,无论是.exe / .dll程序,或多或少都需要给程序添加参数。尤其是通过命令行给参数使得程序运行起来的。这篇笔记主要记录的两个调试方式 调试带参数启动的.exe程序 调试带参数启动的'.dll'程序 看下一篇文章 今天分析的程序是来自《恶意代码分析实战》的第十六章实验,第二个程序是一个crackme的程序,本来这个样本的重点是关注反调试部分的知识点,笔者在分析的时候发现这个有一个知识点–如何使用x64dbg调试带参数启动的程序,因此这里就
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 1847
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用的插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
Pe文件静态分析
LoopherBear的博客
05-02 1507
Pe文件静态分析能够获取到哪些信息 在分析一个样本之前,通常会需要静态分析,如何从PE文件格式中获取到需要的信息就很重要。只有在静态分析时对文件的一些布局信息有了理解,例如是是否被加壳了(虽然可以用查壳工具,但是还是需要知道一些原理),文件时图形化界面(GUI)还是命令执行程序(CUI)等信息的提取和掌握,分析时才会更清晰要做什么,做到心中有数。下面是在阅读《恶意软件分析实战》第一章中的一些整理笔...
python恶意软件分析工具
09-03
一种常用的Python工具用于分析恶意软件是名为pefile的模块,该模块由Ero Carerra编写和维护。pefile是一个行业标准的恶意软件分析库,用于解析PE文件。通过使用pefile,可以对PE文件进行静态分析,包括检查其中的字符串、图像和其他磁盘资源等信息。在恶意软件分析中,对PE文件进行细致检查特别重要,因为即便高水平的恶意软件作者也经常会留下一些痕迹。所以,通过使用pefile这样的工具,可以帮助我们更好地理解和分析各种恶意软件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [教你用Python识别恶意软件!这不比某些杀毒软件强啊!](https://blog.csdn.net/weixin_43881394/article/details/105431474)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值