Вирусы для файлов в формате PE А.В. Неверов. Формат PE. - презентация

1 Вирусы для файлов в формате PE А.В. Неверов

2 Формат PE

3 IMAGE_FILE_HEADER

4 IMAGE_OPTIONAL_HEADER

5 IMAGE_OPTIONAL_HEADER

6 IMAGE_SECTION_HEADER

7 Notepad.exe

8 Notepad.exe Таблица секций

9 Потенциальные места заражения MZ-заголовок MZ-заголовок Секция кода (за счет расширения секции) Секция кода (за счет расширения секции) Новая секция Новая секция «Размазывание» вируса по свободным местам одной или нескольких секций) «Размазывание» вируса по свободным местам одной или нескольких секций)

10 Общий алгоритм заражения Открыть PE-exe файл Открыть PE-exe файл Считать заголовок файла Считать заголовок файла Добавить новую секцию Добавить новую секцию Установить точку входа на новую секцию Установить точку входа на новую секцию Дописать текст вируса по вычисленному физическому смещению в файл Дописать текст вируса по вычисленному физическому смещению в файл Записать измененный заголовок Записать измененный заголовок

11 Основные демаскирующие признаки Нетипичный стартовый код Нетипичный стартовый код Наличие «опасных» и «кричащих» строк Наличие «опасных» и «кричащих» строк Наличие нестандартных секций Наличие нестандартных секций