Вирусы для файлов в формате PE А.В. Неверов
Формат PE
IMAGE_FILE_HEADER
IMAGE_OPTIONAL_HEADER
IMAGE_OPTIONAL_HEADER
IMAGE_SECTION_HEADER
Notepad.exe
Notepad.exe Таблица секций
Потенциальные места заражения MZ-заголовок MZ-заголовок Секция кода (за счет расширения секции) Секция кода (за счет расширения секции) Новая секция Новая секция «Размазывание» вируса по свободным местам одной или нескольких секций) «Размазывание» вируса по свободным местам одной или нескольких секций)
Общий алгоритм заражения Открыть PE-exe файл Открыть PE-exe файл Считать заголовок файла Считать заголовок файла Добавить новую секцию Добавить новую секцию Установить точку входа на новую секцию Установить точку входа на новую секцию Дописать текст вируса по вычисленному физическому смещению в файл Дописать текст вируса по вычисленному физическому смещению в файл Записать измененный заголовок Записать измененный заголовок
Основные демаскирующие признаки Нетипичный стартовый код Нетипичный стартовый код Наличие «опасных» и «кричащих» строк Наличие «опасных» и «кричащих» строк Наличие нестандартных секций Наличие нестандартных секций