没有合适的资源?快使用搜索试试~ 我知道了~
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间戳溯源1
需积分: 0 2 下载量 194 浏览量
2022-08-03
23:41:25
上传
评论
收藏 6MB PDF 举报
温馨提示
试读
27页
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。(参考文献见后)
资源详情
资源评论
资源推荐
[安全攻防进阶篇] 七.恶意样本检测之编写代码自动提取IAT表、字符串及时间
戳溯源
Eastmount
3568
收藏
5
分类专栏:
安全攻防进阶篇
系统安全与恶意代码识别
渗透&攻防
文章标签:
恶意样本检测
PE文件
系统安全
逆向分析
IAT表
2020-08-12 12:18:00
版权
系统安全绕不开PE文件,PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序,包括逆向分析和源
码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识,手动编写代码实现了提取IAT表、二进制转字符串及获取
PE文件时间戳,这是恶意样本分析和溯源至关重要的基础,并且网络上还没见到同时涵盖这三个功能且详细的文章,希望对您有所帮
助。术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~
同时,PE文件基础知识推荐作者另一个安全系列:
[网络安全自学篇] PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改
[网络安全自学篇] PE文件逆向之数字签名解析及Signcode、PEView、010Editor等工具用法
[网络安全自学篇] Windows PE病毒原理、分类及感染方式详解
从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,
但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或
不足之处,还请大家海涵!
接下来我将开启新的安全系列,叫“安全攻防进阶篇”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网
渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~
推荐前文:
网络安全自学篇系列-100篇
话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好或侵权的地
方,可以联系我删除。基础性文章,希望对您有所帮助,作者目的是与安全人共同进步,加油~
文章目录
一.PE文件
1.PE文件基础
2.PE文件格式解析
二.编写代码提取IAT表
三.二进制PE文件转字符串
四.自动提取PE文件时间戳
五.总结
作者的github资源:
软件安全:
https://github.com/eastmountyxz/Software-Security-Course
其他工具:
https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:
https://github.com/eastmountyxz/PE-InfoGet
Python+Te nsorFlow人工智能
该专栏为人工智能入门专栏,采用Python3和TensorFlow 实现人工智能相关算法。前期介绍安装流
程、基础语法、神经网络、可视化等,中间讲解CNN、RNN、LSTM等代码,后续复现图像处理
文本挖掘、自然语言处理、语音识别等应用。基础性文章,希望对您有所帮助,作者更多的文章和
…
Eastmount
¥9.90
订阅博主
第1页 共27页
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它
们背后的原理,更好地进行防护。(参考文献见后)
前文回顾:
[安全攻防进阶篇] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向
[安全攻防进阶篇] 二.如何学好逆向分析、逆向路线推荐及吕布传游戏逆向案例
[安全攻防进阶篇] 三.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏
[安全攻防进阶篇] 四.逆向分析之条件语句和循环语句源码还原及流程控制逆向
[安全攻防进阶篇] 五.逆向分析之Win32 API获取及加解密目录文件、OllyDbg逆向其原理
[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断
一.PE文件
1.PE文件基础
什么是PE文件?
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微
软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
EXE文件格式:
DOS:MZ格式
WIndows 3.0/3.1:NE(New Executable)、16位Windows可执行文件格式
为什么要重点学习这种文件格式呢?
PE文件是可移植、可执行、跨Win32平台的文件格式
所有Win32执行体(exe、dll、kernel mode drivers)
知道PE文件本质后,能更好进行恶意样本分析、APT攻击分析、勒索病毒分析
了解软件加密和加壳的思想,能够PJ相关的PE文件
它是您熟悉Windows操作系统的第一步,包括EXE程序怎么映射到内存,DLL怎么导入等
软件逆向工程的基本思想与PE文件格式息息相关
如果您想成为一名黑客、系统安全工程师,那么精通PE文件是非常必要的
可执行程序是具有不同的形态的,比如用户眼中的QQ如下图所示。
本质上,QQ如下图所示。
第2页 共27页
PE文件格式总体结构
接着让我们来欣赏下PE文件格式总体结构图,包括:MZ头部、DOS stub、PE文件头、可选文件头、节表、节等。
本文的第二部分我们将对PE文件格式进行详细解析。比如,MZ头文件是定位PE文件头开始位置,用于PE文件合法性检测。DOS下运行
该程序时,会提示用户“This Program cannot be run in DOS mode”。
PE文件格式与恶意软件的关系
何为文件感染或控制权获取?
使目标PE文件具备或启动病毒功能(或目标程序)
不破坏目标PE文件原有功能和外在形态(如图标)等
…
病毒代码如何与目标PE文件融为一体呢?
代码植入
控制权获取
第3页 共27页
图标更改
Hook
…
PE文件解析常用工具包括:
PEVie w
:可按照PE文件格式对目标文件的各字段进行详细解析。
Stud_PE
:可按照PE文件格式对目标文件的各字段进行详细解析。
Ollydbg
:可跟踪目标程序的执行过程,属于用户态调试工具。
UltraEdit \ 010Editor
:可对目标文件进行16进制查看和修改。
2.PE文件格式解析
我们通过010Editor观察PE文件例子程序hello-2.5.exe的16进制数据,详细讲解PE文件格式。PE文件结构如下图所示,推荐大家使用
010Editor工具及其模板来进行PE文件分析。
MZ头部+DOS stub+PE文件头+可选文件头+节表+节
(1) 使用010Editor工具打开PE文件,并运行模板。
该PE文件可分为若干结构,如下图所示。
第4页 共27页
(2) MZ文件头(000h-03fh)。
下图为hello-2.5.exe的MZ文件头,该部分固定大小为40H个字节。偏移3cH处字段Offset to New EXE Header,指示“NT映象头的偏移地
址”,其中
000000B0
是NT映象头的文件偏移地址,定位PE文件头开始位置,用于PE文件合法性检验。
000000B0指向PE文件头开始位置。
(3) DOS插桩程序(040h-0afh)
DOS Stub部分大小不固定,位于MZ文件头和NT映象头之间,可由MZ文件头中的Offset to New EXE Header字段确定。下图为hello-
第5页 共27页
剩余26页未读,继续阅读
一曲歌长安
- 粉丝: 50
- 资源: 302
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0