1、使用反病毒软件来确认程序样本的恶意性 在分析一个可疑的恶意代码样本时,第一步就最好是拿多个反病毒软件扫描下这个文件,看是否有哪个引擎已经能够识别它。反病毒软件是不完美的,它们主要依靠一个已知恶意代码可识别片断的特征数据库,以及基于行为与模式匹配的分析(启发式检测),来识别可疑文件。 一些罕见的恶 ...
分类:
其他好文 时间:
2016-11-18 23:14:54
阅读次数:
347
?更多技术干货请戳:听云博客 0x01 Mach-O格式简单介绍 Mach-O文件格式是 OS X 与 iOS 系统上的可执行文件格式,类似于windows的 PE 文件 与 Linux(其他 Unix like)的 ELF 文件,如果不彻底搞清楚Mach-O的格式与相关内容,那么深入研究 xnu ...
分类:
移动开发 时间:
2016-11-16 14:07:56
阅读次数:
256
在.NETFramework框架中,程序集是重用、安全性以及版本控制的最小单元。程序集的定义为:程序集是一个或多个类型定义文件及资源文件的集合。程序集主要包含:PE/COFF,CLR头,元数据,清单,CIL代码,元数据。PE/COFF文件是由工具生成的,表示文件的逻辑分组。PE文件包含“清单..
分类:
Web程序 时间:
2016-11-08 20:44:54
阅读次数:
256
以前刚开始学网络安全,是从免杀开始的。记得那时候杀毒软件还很弱。金山江民瑞星还存在。 那会什么原理也不懂,就一直瞎鼓捣。(后来转入渗透行列了) 这段时间一直在学PE格式,突然想起来以前很古老的PE文件头移位。 网上搜了搜,看大家虽然做了视频,但是竟然没人讲原理。借着刚好在学PE格式的知识,就做个PE ...
分类:
其他好文 时间:
2016-10-24 23:39:17
阅读次数:
233
注:本文适用读者范围,对Windows下的PE文件有一定认识的朋友 一、 名词解释 a) CLR: 公共语言运行时(Common LanguageRuntime),CLR时.NET框架的核心内容之一,可以把它看为一套标准资源,可以被任何.NET程序使用。它包括:面向对象的编程模型、安全模型、类型系统 ...
分类:
Web程序 时间:
2016-09-18 06:36:07
阅读次数:
226
背景 之前说过直接向类HelloWorld.exe的可执行文件添加一个MessageBox弹窗, 但有时候, 需要添加的内容太多了, 因为数据与代码一起插入, 以至于可执行文件本身没有足够的空闲空间存放这些内容时, 就需要添加一个Section. 确认节区头后面还有空间 用工具查看一下最后一个节区头 ...
分类:
其他好文 时间:
2016-08-19 20:49:57
阅读次数:
355
来源:http://www.veryhuo.com/a/view/38338.html 今天想把 perl 脚本编译成 exe 以便脱离 perl 解释器独立运行。都可以生成PERL的PE文件,在PERL官网有介绍。 perl脚本编译成exe 一般有4种方法: 1. 使用 perl2exe 工具(需 ...
分类:
其他好文 时间:
2016-06-24 12:40:42
阅读次数:
598
前者稍微解除了一下PE文件格式,这次简要说一下PE的装载,PE文件中,所有段的起始地址都是页的整数倍,段的长度如果不是
页的整数倍,那就会映射时向上补齐到页的整数倍,PE文件中,连接器在生产可执行文件时,往往将所有的段尽可能的合并,所以一般
只有代码段,数据段,只读数据段和BSS等为数不多的几个段。
PE的术语中,有个相对虚拟地址的概念,其实当当与文件中的偏移量。它是相对于PE文件的装载基地...
分类:
其他好文 时间:
2016-06-12 02:49:45
阅读次数:
145
got plt类似与Windows PE文件中IAT(Import Address Table)。 要使的代码地址无关,基本思想就是把与地址相关的部分放到数据段里面。 ELF的做法是在数据段里面建立一个指向这些变量的指针数组,称为全局偏移表(Global Offset Table,GOT),当代码需 ...
分类:
其他好文 时间:
2016-06-10 12:22:09
阅读次数:
209
