标签:
第一章 静态分析技术
常见的DLL程序
|
DLL |
描述 |
|
Kernel32.dll |
包含系统的核心功能,如访问和操作内存、文件和硬件 |
|
Advapi32.dll |
提供了对核心Windows组件的访问,比如服务管理器和注册表 |
|
User32.dll |
包含了所有用户界面组件,如按钮、滚动条以及控制和响应用户操作的组件 |
|
Gdi32.dll |
包含了图形显示和操作的函数 |
|
Ntdll.dll |
Windows内核的接口。可执行文件通常不直接导入这个函数,而是由Kernel32.dll间接导入,如果一个可执行文件导入了这个文件,这意味着作者企图使用那些不是正常提供给Windows程序使用的函数.一些如隐藏功能和操作进程等任务会使用这个接口 |
|
Wsock32.dll |
联网DLL,或是执行网络相关的任务 |
|
Ws2_32.dll |
同上 |
|
Wininet.dll |
包含了更高层次的网络函数,实现了如FTP HTTP NTP等协议 |
Windows平台可执行PE文件中的分节
|
分节名称 |
描述 |
|
.text |
包含可执行代码 |
|
.rdata |
包含程序中可访问的只读数据 |
|
.data |
存储程序中都可以访问的全局数据 |
|
.idata |
有时会显示和存储导入函数信息,如果这个节不存在,导入函数信息会存储在.rdata节中 |
|
.edata |
有时会显示和存储导出函数信息,如果这个节不存在,导入函数信息会存储在.rdata节中 |
|
.pdata |
只在64位可执行文件中存在,存储异常处理信息 |
|
.rsrc |
存储可执行文件所需的资源 |
|
.reloc |
包含用来重定位库文件的信息 |
PE文件头信息
|
信息域 |
揭示的信息 |
|
导入函数 |
恶意代码使用了库中的哪些函数 |
|
导出函数 |
恶意代码期望被其他程序或库所调用的函数 |
|
时间戳 |
程序编译的时间 |
|
分节 |
文件分节的名称以及他们在磁盘与内存中的大小 |
|
子系统 |
指示程序是一个命令行还是一个图形界面的程序 |
|
资源 |
字符串 图标 菜单项和文件中包含的其他信息 |
标签:
原文地址:http://www.cnblogs.com/wangchz13/p/4805230.html
