软件安全基础之PE文件格式

最新推荐文章于 2024-07-10 02:04:28 发布
原创 最新推荐文章于 2024-07-10 02:04:28 发布 · 783 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

软件安全基础之PE文件格式

值复习《软件安全》这门课之际,PE文件格式可谓是重中之重,在这里,我便结合教材和PPT,对相关知识进行一个小小的梳理。如有不当之处,希望能被指正!

什么是PE文件格式?

PE就是Portable Executable,它是Win32可执行文件的标准格式;

PE文件格式与恶意软件的关系

文件感染的定义:使目标PE文件具备“或启动”病毒功能,但不破坏目标PE文件原有功能和外在形态(如图标等);

病毒代码与目标PE文件融为一体的途径:代码植入、控制权获取、图标更改。
注:这里的代码植入可以分为两种,主动植入和被动植入,主动植入即是程序自身利用系统地正常功能或缺陷将攻击代码植入到目标中,而不需要人的干预;被动植入即是恶意软件将攻击代码植入到目标主机时,需要借助用户的操作——通常是和社会工程学的攻击方法相结合,诱使用户触发漏洞。
权限提升:
首先,访问控制:防止未经授权使用资源,包括防止以非授权方式使用资源;
访问权限:访问控制的访问规则,用来区别不同访问者对资源的访问权限。
而所谓的权限提升就是攻击者通过攻击某些有缺陷的系统程序,把当前较低的账户权限提升到更高级别的用户权限。
由于管理员的权限较大,通常将获得管理员权限看做是一种特殊的权限提升。

病毒被运行的流程

  1. 用户点击(或系统自动运行)HOST程序
  2. 装载HOST程序到内存中
  3. 通过PE文件的AddressOfEntryPoint和ImageBase之和来定位第一条语句的位置
  4. 从第一条语句开始执行(病毒代码可能在此时,也可能在HOST代码运行过程中获得控制权)
  5. 病毒体代码主体执行完毕,将控制权交换给HOST程序
  6. HOST程序体继续执行

在这里提到一个概念叫Addr

最低0.47元/天 解锁文章
[系统安全] PE文件格式分析实战基础—分析helloworld文件
H4ppyD0g的博客
12-30 881
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
软件安全学习笔记(7):PE文件总体格式
白学病患者的专栏
09-11 872
1、MS-DOS MZ文件头(64个字节) 定位PE文件头开始位置,也用于PE文件合法性检测。最后四个字节(3C处):PE文件头开始位置 2、DOS Stub 一段小的DOS程序 3、PE header:由字串(Signature)、影像文件头(FileHeader)、可选映像头(OptionalHeader)三部分组成 (1)字串:四个字节,值为50h,45h,
PE文件解析器
08-20
简易的基于文件操作的PE文件解析器源码
【恶意代码与软件安全分析】(一)PE——可执行文件
cwllll的博客
04-23 1975
【恶意代码与软件安全】课程与实验
PE文件
空の城的博客
10-26 421
  《软件安全》实验报告 实验目的 1.了解PE文件的概念、结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.重点分析PE文件文件头、引入表、引出表,以及资源表 实验原理 PE文件的基本结构 PE各部分的含义 PE基础含义 实验过程 1.填充DOS MZ头 所有的PE文件都以MZ开头在文件头插入4D5A,最后插入PE头的偏移地址,代表地址值 2.PE头填充 该结构体包含三个部分,签名,印象文件头,可选文件头 1签名 通过
【计算机安全软件开发】PE文件头字段详解:Windows可执行文件结构与加载过程分析
最新发布
07-22
使用场景及目标:①理解PE文件格式,为开发Windows平台下的程序打下坚实的基础;②掌握PE文件的加载流程,有助于进行程序调试和性能优化;③利用安全特性提高程序的安全性和稳定性;④使用推荐工具对PE文件进行分析...
PE文件格式详解
音视频图形编程学习乐园
09-01 2345
本文描述了Windows系统的PE文件格式
精选资源
软件安全实验报告集.zip
12-01
这些实验旨在帮助我们深入理解软件安全漏洞及其防范措施,主要包括栈溢出、格式化字符串溢出、PE(Portable Executable)型病毒、Word宏病毒以及木马攻击。以下是针对每个实验的详细知识解析: 实验一:栈溢出实验 ...
深入探讨PE文件格式软件加密技术
### 软件加密技术内幕知识点梳理 #### 第1章 PE文件格式深入研究 ##### PE文件格式纵览 PE(Portable Executable)文件格式...这些知识对于开发安全软件、理解软件保护机制以及进行软件安全分析和保护具有重要意义。
PE文件格式
测试
08-10 389
1.介绍   PE文件是Windows下使用的可执行文件格式PE文件是指32位的可执行文件,也称PE32,64位称PE+或PE32+,是PE32的一种扩展形式(不是PE64) 2.PE文件格式 种类 主扩展名 可执行系列 EXE、SCR 库系列 DLL、OCX、CPL、DRV 驱动程序系列 SYS、VXD 对...
PE文件结构与计算机病毒.pdf
08-26
PE文件的加载原理整个复杂的过程都是由PE装载器完成的,PE装载器将PE文件文件映射的方式从磁盘映射到内存,在映射时PE文件被加载到内存的开始位置叫做基址,我们用lPImageBase来表示。我们首先需要知道我们如何将一个PE文件加载到内存,并获得基址 .......
pe软件是干嘛的_PE软件在软考备考中的重要作用
weixin_31716637的博客
07-10 667
免费备考资料(2024年11月软考):历年试题+视频课合集+电子讲义点击领取>>> 免费刷题:2024年11月软考备考刷题点此进入>>>在软件工程中,PE软件是一个常被提及的术语,尤其在软考(软件专业水平考试)备考过程中,了解并熟练掌握PE软件的使用,对于考生来说至关重要。那么,PE...
PE文件结构的一些基础知识
Programming Note
08-02 1412
         原来在DOS操作系统上面的可执行文件(COM)只包含代码,程序被载入后第一句就是一条指令。这样让程序很不灵活,所有的代码,数据,堆栈都存放在一起,程序不能跨段操作。所有Windows操作系统为了解决这个问题就引入了PE文件结构。  PE文件的基本结构 PE文件头:包括文件的入口,堆栈位置,重定位表等信息
实验六——PE病毒分析
热门推荐
Onlyone_1314的博客
09-26 1万+
【实验名称】 PE病毒分析 【实验目的】 1.属性PE文件结构 2.熟悉PE编辑查看工具,详细了解PE文件格式 3.掌握文件型病毒的发现方法及PE病毒的染毒原理 【实验原理】 1.PE文件常用字段解释: a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。 .text段第一个数据的文件偏移地址是:0x400 b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。
PE文件格式的分析与构造
weixin_44504022的博客
04-15 2459
PE文件结构的分析与构造
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础基础性文章,希望对您有所帮助~
软件安全(彭国军)期末复习
abtgu的博客
07-02 4631
第一章 1. 什么是软件安全(P5) 软件自身安全软件缺陷与漏洞)、恶意软件攻击与检测、软件逆向分析(软件破解)与防护。 2. 软件缺陷与漏洞的典型威胁(P6) (1)软件正常功能被破坏; (2)系统被恶意控制。 3. 恶意软件的威胁(P6) (1)已有软件的功能被修改或破坏; (2)目标系统中的重要数据被窃取; (3)目标系统中的用户行为被监视; (4)目标系统被控制。 4.SDL模型(P9+) SDL(secure development lifecycle)模型的核心理念就是将软件安全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值