第一章 分析概述 该恶意木马样本为运行于winodws平台上的PE文件(名称:evtdiag.exe)。文件大小为64KB,编译时间是2016年2月5日。 经分析,该样本为定制的攻击SWIFT客户端程序的恶意木马程序,未做加壳和代码混淆处理,主要功能是与本地的SWIFT客户端软件Alliance交互 ...
分类:
编程语言 时间:
2016-06-05 15:28:44
阅读次数:
479
用PEiD查壳 UPX v0.89.6 - v1.02 / v1.05 - v1.22 这个是入门的壳,只是一个简单的压缩壳用Stud_PE查看PE文件头信息 主要是看一下ImageBase的值 00400000,这是一个16进制数。在后面OD载入后,可以用这个值在内存映像中查看PE文件加载到内存后... ...
分类:
其他好文 时间:
2016-05-31 20:54:04
阅读次数:
1440
传送门http://bbs.pediy.com/showthread.php?t=206804 壳的流程看上去并不复杂,但需要的是你对PE文件有一定的了解,在了解了一些关于导入表、导出表、重定位表、IAT等基础知识以后方可写出一个具有基本功能的壳。但如果想要写一个加密、压缩或者兼容性很强的壳的话,绝 ...
分类:
编程语言 时间:
2016-05-28 15:45:45
阅读次数:
290
1、定位标准PE头 DOS Stub长度不固定,所以DOS头不是一个固定大小的数据结构。DOS头位于PE的起始位置,通过DOS头去定位后面标准PE头的位置就是通过字段e_lfanew。 e_lfanew字段的值是一个相对偏移量,绝对定位时需要加上DOS MZ头的基地址。 也就是PE头的绝对位置是: ...
分类:
其他好文 时间:
2016-05-23 00:57:38
阅读次数:
204
1.介绍
什么是PE文件?
PE文件是windows操作系统下使用的可执行文件格式。32位就直接叫PE或PE32,64位的就PE+或PE32+,注意不是PE64哦!!!!
学习PE文件其实就是学习结构体,里面储存了如何加载到内存,从何处开始运行,运行需要那些dll,需要多大的栈和内存等
初识PE文件
看看大概包括那些结构体吧
2.PE头...
分类:
其他好文 时间:
2016-05-22 12:19:40
阅读次数:
162
最近重新撸了一遍PE文件的文件格式,这个程序算是复习的产物吧。说明与警告:
1.只适用于32位PE文件,可以读取符合标准的32位PE文件的DOS头、NT头、节区头、导入表、导出表信息,想要其他功能请在PEFile类中找,没有请留言
2.因为是边复习功能边写的,所以不要纠结程序架构、编码风格、鲁棒性等各种问题,我会再改的
3.翻译可能是不准的,仅供参考
4.所有计数从0开始,程序不对是否越界进...
根据操作系统的不同,编译器,编译选项的不同,同一文件不同函数的代码在内存代码区中的分布可能相邻,也可能相离甚远,可能先后有序,可能无序 但,它们都在同一个 PE文件的代码 映射的一个 “节” 里。 我们可以简单把它们在内存代码区中的分布位置理解成是散乱无关的。 CPU是从哪里获得 函数的调用及返回的 ...
分类:
其他好文 时间:
2016-05-07 19:39:23
阅读次数:
110
工具:
PETool,MiniHex,PEViewer
以本机notepad.exe为研究对象。本机64位,该notepad.exe是64位应用程序。
1 用peviewer打开
PE文件大体包括四部分,DOS头,NT头,节表以及具体的节。下图展示的是前三部分。
2 DOS头
e_magic:一个WORD类型,值是一个常数0x4D5A,用文本编辑器查看该值位‘MZ’,可执行文件...
分类:
其他好文 时间:
2016-05-06 15:17:50
阅读次数:
149
小甲鱼PE详解之输出表(导出表)详解(PE详解09) 当PE 文件被执行的时候,Windows 加载器将文件装入内存并将导入表(Export Table) 登记的动态链接库(一般是DLL 格式)文件一并装入地址空间,再根据DLL 文件中的函数导出信息对被执行文件的IAT 进行修正。 ( 基础补充:很 ...
分类:
其他好文 时间:
2016-04-21 23:37:25
阅读次数:
448
当一个PE文件被执行时,PE装载器首先检查DOS MZ header里的PE header的偏移量。如果找到,则直接跳转到PE header的位置。 当PE装载器跳转到PE header后,第二步要做的就是检查PE header是否有效。如果该PE header有效,就跳转到PE header的尾部 ...
分类:
其他好文 时间:
2016-04-14 22:23:01
阅读次数:
174
