【反分析】清除PE文件上的Rich Headers

已于 2022-03-26 17:21:17 修改
阅读量764 收藏
点赞数
分类专栏: Windows编程技术 文章标签: 其他
于 2022-03-26 17:18:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/123759371
版权

Rich Headers

前言

通常我们使用Visual Studio生成可执行文件的时候,编译器总会给我们文件里添加各种我们不想要的信息,Rich Header就是其中一种。
Rich Header是PE文件DOS Header和NT Header之间的一个结构(在PE Header和DOS stub之间)。它包含链接库版本信息以及链接器版本。可以有效的帮助恶意软件分析人员溯源和关连攻击方

The Rich Header

Rich Header是由微软编译器创建,通常看起来像如下:

WSNPOEM Decryption Code analyzed:

00000080  54 62 EF 9B 10 03 81 C8 10 03 81 C8 10 03 81 C8  Tb??.......è
00000090  37 C5 EF C8 11 03 81 C8 37 C5 FC C8 12 03 81 C8  7??è...è7?üè...è
000000A0  37 C5 FA C8 0B 03 81 C8 10 03 80 C8 C9 03 81 C8  7?úè....èé..è
000000B0  37 C5 EC C8 33 03 81 C8 37 C5 FD C8 11 03 81 C8  7?ìè3..è7?yè...è
000000C0  37 C5 F9 C8 11 03 81 C8 52 69 63 68 10 03 81 C8  7?ùè...èRich..

这是notepad.exe的Rich Header信息,起始偏移地址为80h,紧跟在DOS stub之后。紧跟在Rich Header之后的是PE Header。从上面的Rich Header信息你大概可以看出Rich Header是被加密过的。

解密Rich Header

Rich Header信息是被异或操作加密过的,观察上面Rich Header数据你会发现一个重复多次的DWORD值即"Rich"之后的10 03 81 c8。将Rich Header信息的起始位置一直到关键字"Rich"的数据与这个DWORD值进行异或操作,操作后的Rich Header如下所示:

00000080  44 61 6e 53 00 00 00 00 00 00 00 00 00 00 00 00  DanS............
00000090  27 c6 6e 00 01 00 00 00 27 c6 7d 00 02 00 00 00  '?n.....'?}.....
000000A0  27 c6 7b 00 1b 00 00 00 00 00 01 00 d9 00 00 00  '?{.........ù...
000000B0  27 c6 6d 00 23 00 00 00 27 c6 7c 00 01 00 00 00  '?m.#...'?|.....
000000C0  27 c6 78 00 01 00 00 00 52 69 63 68 10 03 81 c8  '?x.....Rich..

我们看到第一个DWORD值为"DanS",这个好像正是Dan Ruder的开头部分,Dan Ruder正是"Mechanics of Dynamic Linking" in 1993(MSDN Library Archive)的作者之一。

格式解析

从lifewire的文章详见参考[6]获知Rich Header结构的格式如下:

'DanS'^b, b, b, b         -- 身份认证头
compid^b, r^b           -- 从0开始
..                     --      :
compid^b, r^b          -- 直到n

'Rich', b              -- 结束位置

后面是一些无用的信息

上面所有的值都是DWORD型,b是异或值,是一个校验和值。^是异或操作符。compid 是编译器id(compiler id)。最小的Rich Header的大小为8*4(至少包含一个编译器id)。可以通过关键字"Rich"和"DanS"验证Rich Header信息。

编译器id是编译库文件所使用的连接器版本。Rich Header包含一个所有被链接的库文件的链表,这个正是compid的值。compid最后的值是链接文件的连接器版本号。comp.id 的值是按照DWORD型存储。LWORD包含了组建号,HWORD的低位(low 4 bits )包含主版本号,高位(high 4 bits)包含子版本号。

校验和与异或值b通过如下步骤计算得出:

b=sizeof(dos_stub)              // 一般情况均为0x80

for (int i = 0; i < sizeof(dos_stub); i++)
{
    b += dos_stub[i] ROL i;     // ROL 循环左移操作
}

for (int i = 0; i < n; i++)
{
    b += compid[i] ROL r[i];
}

第一个循环根据DOS stub生成一个校验和,第二个循环遍历所有库版本。具体算法介绍可参考[6]。

@comp.id值

正如前面描述,compid 的值为连接器版本号。连接器包含所有静态链接库的comp.id值(例如kernel32.lib)并存储在一个列表中。连接器将自己的版本信息添加到这个列表的末尾。你可以在一个lib文件中查找"@comp.id",紧跟着的下一个DWORD就是连接器版本号(即编译器id)。

通过列表里面的最后一个compid 值,你可以确定编译器版本、连接器版本以及编译应用程序所使用的开发环境。例如编译器id值为0x0078C627就意味着"Version 8.00.50727, Microsoft Visual Studio 2005"。这里要注意微软针对不同编译器版本可能不尽相同。你可以通过组建号来识别使用的是编译器(cl.exe)还是连接器(link.exe)版本(组建号相同,编译器和连接器的主版本和字版本号不同)。

你可以创建并使用一个@comp.id转换表(编译器/连接器版本号值的转换)来利用Rich Header 的有效性。

其他

除了清除Rich Headers 还需要清除编译时候的Debug信息来对抗分析,这类工具其实很多,我就不列举出来

参考项目

http://www.ntcore.com/files/richsign.htm
https://github.com/lordmulder/rich-header-eraser
https://github.com/mthiesen/link-patcher

参考文章

https://www.pediy.com/kssd/pediy12/125447.html

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
peClean (清除PE头中的无用数据
04-06 3028
以LordPE和OD成功加载为基础,清除PE头部中的“垃圾”数据实际情况可能没多大用处,昨天晚上想温习一下PE头的格式就写了这个使用时把PE文件拖进对话框即可xp sp2 + VC6附件:peclean.rar#include "PeClean.h"DWORD IsPE(HANDLE hFile){  char  ReadBuffer[4];  DWORD  dwRead;  DWORD  dwO
RichPE:带有Rich Header的元数据散列具有针对打包和其他恶意软件技巧的鲁棒性
05-20
丰富标题研究 Rich标头是未记录的标头,包含在使用Microsoft工具链编译和链接的PE文件中。 它包含有关在其中创建PE文件的构建环境的信息。如果您想了解有关Rich标头的更多信息,请查看以下优秀文章: 先前对Rich标头的研究表明,它对于恶意软件分析非常有用: 该存储库包含我们对Rich标头的研究,其中包括RichPE元数据哈希和一个用于检查Rich标头中的元数据是否被其他PE文件元数据证实的工具。 RichPERichPE元数据哈希的实现。 usage: python3 richpe.py [any # of file paths] example: python3 richpe.py /path/to/file example: python3 richpe.py /path/to/directory/* 欺骗检查: 检查文件Rich标头中的元数据是否与文件
探秘恶意软件分析利器——PortEx
最新发布
gitblog_00048的博客
05-21 386
探秘恶意软件分析利器——PortEx 项目地址:https://gitcode.com/struppigel/PortEx 项目简介 欢迎来到PortEx的世界!这是一个专为静态分析Portable Executable(PE文件而设计的Java库,主要用于PE文件的变形耐受性和异常检测。PortEx以其在处理PE文件结构上的强大功能和对Java应用的良好支持而脱颖而出。 技术剖析 PortE...
PyRichHeader:富标题的 Python 解析器
06-02
丰富的标题 原始代码来自。 The Rich header is that bit of data in a Portable Executable (PE) File that follows the DOS Stub, but preceeds the actual PE Header. It's format is only documented in a handfull of places on the searchable net, and that documentation isn't terribly in-depth.
深入剖析PE文件(一)
求索
05-25 1288
深入剖析PE文件(一)2008-08-29 17:21深入剖析PE文件PE文件是Win32的原生文件格式.每一个Win32可执行文件都遵循PE文件格式.对PE文件格式的了解可以加深你对Win32系统的深入理解. 一、        基本结构。  上图便是PE文件的基本结构。(注意:DOS MZ Header和部分PE header的大小是不变
一个清除windows文件PE头中的垃圾字节来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
01-17
一个清除PE头垃圾来缩短PE文件大小的演示程序。很好的说明了PE结构中无用的部分。学PE结构的朋友可以.zip
PE头信息清除PE头信息清除
04-18
PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除PE头信息清除
PE文件格式分析源码C++
09-28
`IMAGE_DOS_HEADER`是PE文件的DOS头,它包含了一个指向NT头的指针,NT头由`IMAGE_NT_HEADERS`结构表示,里面又包含`IMAGE_FILE_HEADER`(文件头)和`IMAGE_OPTIONAL_HEADER`(可选头)。这些结构定义了文件的基本...
PE文件分析器(自研版本)
01-27
PE文件分析器:深入理解Windows可执行文件》 在Windows操作系统中,PE(Portable Executable)文件格式是用于...无论你是初学者还是经验丰富的开发者,掌握PE文件分析都能显著提升你在Windows平台上的软件开发能力。
VC++实现PE文件分析工具
12-15
在IT领域,特别是系统分析和软件逆向工程中,理解PE(Portable Executable)文件格式是至关重要的。PE文件格式是Microsoft Windows操作系统中用于存放可执行程序、动态链接库(DLL)、驱动程序等的主要格式。本项目...
RichHeader-Service_Collection
05-17
丰富的标题 描述 这是对PE32 Rich Header进行调查的工作的集合。 单机版 要执行独立版本,请执行以下操作: python3 standalone.py <filename> 网络版 Web版本可以作为本地龙卷风服务器运行,也可以通过随附的dockerfile运行。 输出 { " compids " : [ { " mcv " : " <str> " , " pid " : " <str> " , " cnt " : " <str> " , } ], " compids_dup " : " <boolean> " , " csum_calc " : " <int> " , " csum_file " : " <int> " ,
C语言怎么获得进程的PE文件信息
09-02
在C语言中获取进程的PE(Portable Executable)文件信息是一项关键任务,特别是在系统编程、逆向工程和安全分析等领域。PE文件格式是Windows操作系统中用于存放可执行程序、动态链接库(DLL)等二进制文件的标准格式。...
C++判断pe文件实例
09-04
在C++编程中,PE(Portable Executable)文件格式是Windows操作系统中用于可执行程序、动态链接库(DLL)和驱动程序的文件...这个C++实例提供了一个基础的框架,对于深入理解PE文件格式和进行文件分析工作非常有帮助。
PE文件结构的基础概念,用32位汇编写一个程序读取PE文件
weixin_43575859的博客
03-11 885
PE文件文件头部分,节表部分,还有节区部分组成。其中文件头包括PE文件头还有DOS文件头,节表主要是用来说明每个节的RVA地址(RVA地址就是文件被装载到内存后数据相对于文件起始位置的偏移量)还有节的尺寸的,当然还有一些其他的信息。而节区就是将属性相同的文件数据放在了一起,比如可执行的放一起,只读的放一起等等。 这是PE文件头的大概样子: DOS文件头 DOS头部分由MZ格式...
学习PE文件
peterchilly的博客
03-31 397
PE文件(portable executable)大致结构1.DOS文件头 64byte                     其中最重要的是: e_magic 表示MS-DOS文件头的签名                                              e_lfanew 指出 image_nt_header在映像中的位置2.DOS stub程序 128byte    ...
修改PE文件头删除ASLR
fa1c4的blog
03-19 636
Windows内核6.0版本之后增设了ALSR(Address Space Layout Randomization)机制, 使得每次PE文件记载到虚拟内存的起始地址不一样, 而且栈和堆起始地址也不一样. 熟知PE文件头格式的逆向玩家, 可以通过修改一个标志位来达到删除编译好的可执行文件的ASLR功能. PE文件头中IMAGE_OPTIONAL_HEADER\DLL Characteristics设 有IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE标志, 8140改到8100即可
恶意软件分析基础-PE文件简单分析记录
LoopherBear的博客
05-11 1042
PE文件简单分析记录 通常在分析一些样本时会遇到如下程序 Handle hImageBase=LoadLibraryA("Kernel32.dll"); void* aAddr =hImageBase+0x3c; void* bAddr=aAddr++0x78; 的调用,为了能更理解在运行时的解析操作,使用010Editor进行分析了exe文件。 DosHeader 这个是整个PE文件的头部,通常加载一个exe或者dll获取的base地址就是这个头 以MZ标志开头,表示这个一个PE文件。如果要读取Ri
驱动中解析pe文件之pdb
liwen930723的专栏
09-25 2627
驱动中解析pe文件的pdb,一切尽在代码中,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥? CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。     #include &lt;ntifs.h&gt; #include &lt;windef.h&gt; #include "ntimage.h" #define NB10...
vs2019配置c++ boost库
r250414958的博客
03-26 2027
vs2019配置c++ boost库前言环境过程一.安装Boost库 前言 安装编译Boost c++ library 环境 vs2019 boost 1.77.0 过程 一.安装Boost库 去官网进行下载: https://www.boost.org/ 我当前下载的版本是1.77.0 下载完成后解压到自己指定的目录 然后打开命令行编译工具 Cd 到解压好的boost目录 然后运行目录下的bootstrap.bat 完成后会在目录下生成一个b2.exe 使用 .\b2 --help 查看
Win32可移植可执行(PE文件格式深度解析
"PE文件结构是Microsoft为Win32系统设计的一种可移植可执行文件格式,应用于Windows NT、Win32s、...PE文件结构是Win32程序的核心组成部分,理解和分析PE文件能帮助开发者更好地调试、优化和逆向工程Win32应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值