Вирусы для файлов в формате PE А.В. Неверов. Формат PE.

Презентация:



Advertisements
Похожие презентации
EXE-вирусы для MS DOS Неверов А.В.. Форматы EXE-файлов Формат файлаОперационная система MZMS DOS NE (New Exe)Windows 3.x PE (Portable Executible) Windows.
Advertisements

Заголовок
Заголовок підзаголовок.
12 – 8 = 17 – 9 = = 12 – 7 = = 11 – 5 = 13 – 6 =
Лабораторная работа 13 Создание прототипа словаря.
ACCESS Элементы формы. На форме можно разместить следующие элементы: Поле Подчиненная форма Поле со списком Кнопка Переключатель Флажок.
Классификация вредоносных продуктов с точки зрения AVT Group. Нохрин Матвей Сергеевич ПС-194 AVT Group.
Вычислите : :30 :10 :3 *50 *10 *
1.Вычисли. 40 – 631 – 442 – 873 – 7 30 – 945 – 651 – 648 – 9 60 – 826 – 963 – 584 – 5.
Вирусы Вредоносная программа злонамеренная программа, то есть программа, созданная со злым умыслом или злыми намерениями.
ACCESS Создание отчетов. Отчет используется для представления данных в печатном формате. Отчеты создаются на основе одной или нескольких таблиц или на.
КуМир Исполнитель Робот Система команд исполнителя Примеры алгоритмов Задания для самостоятельной работы Автор: Савченко Лариса Дмитриевна, учитель «Информатики.
Проф. В.К.Толстых, Технологии разработки Internet- приложений ASP.NET примеры: динамические таблицы, привязка данных к выпадающему списку.
Компьютерные ВИРУСЫ Выполнил ученик 9 класса ЦНИНСКОЙ СОШ 2 ШАХОВ МИХАИЛ.
Признаки, классификация, уголовная ответственность за создание.
Основные понятия. Файлы программы PowerPoint называются презентациями а их элементы – слайдами. Файлы программы PowerPoint называются презентациями а.
Заголовок подзаголовок. Другая страница текст.
специально созданная программа небольшого размера, главными особенностями которой является: 1)способность самостоятельно дописываться к другим программам.
Ввод данных. Для ввода данных используется объект TextBox работающий с текстом, поэтому если вводятся числовые данные их необходимо преобразовывать в численные.
Транксрипт:

Вирусы для файлов в формате PE А.В. Неверов

Формат PE

IMAGE_FILE_HEADER

IMAGE_OPTIONAL_HEADER

IMAGE_OPTIONAL_HEADER

IMAGE_SECTION_HEADER

Notepad.exe

Notepad.exe Таблица секций

Потенциальные места заражения MZ-заголовок MZ-заголовок Секция кода (за счет расширения секции) Секция кода (за счет расширения секции) Новая секция Новая секция «Размазывание» вируса по свободным местам одной или нескольких секций) «Размазывание» вируса по свободным местам одной или нескольких секций)

Общий алгоритм заражения Открыть PE-exe файл Открыть PE-exe файл Считать заголовок файла Считать заголовок файла Добавить новую секцию Добавить новую секцию Установить точку входа на новую секцию Установить точку входа на новую секцию Дописать текст вируса по вычисленному физическому смещению в файл Дописать текст вируса по вычисленному физическому смещению в файл Записать измененный заголовок Записать измененный заголовок

Основные демаскирующие признаки Нетипичный стартовый код Нетипичный стартовый код Наличие «опасных» и «кричащих» строк Наличие «опасных» и «кричащих» строк Наличие нестандартных секций Наличие нестандартных секций