超级会员免费看
Windows系统交互分析与数据隐藏技术
一、PE文件格式与操作
1.1 PE文件Section Flags分析
参考相关的Section Flags数据,有三个独立的属性构成了特定的值,具体如下表所示:
| Flag | Value | Description |
| — | — | — |
| IMAGE_SCN_CNT_CODE | 0x00000020 | 该节包含可执行代码 |
| IMAGE_SCN_MEM_EXECUTE | 0x20000000 | 该节可以作为代码执行 |
| IMAGE_SCN_MEM_READ | 0x40000000 | 该节可以被读取 |
将这三个值相加得到0x60000020。如果要添加新的节,需要用适当的值更新所有这些属性。
1.2 拓展练习
为了加深对PE文件数据结构的理解,可以进行以下拓展练习:
1. 获取各种Windows二进制文件,使用十六进制编辑器和调试器探索各种偏移值,识别不同二进制文件的差异,如节的数量。使用构建的解析器来探索和验证手动观察的结果。
2. 探索PE文件结构的新领域,如EAT和IAT。重建解析器以支持DLL导航。
3. 向现有的PE文件添加新的节以包含新的shellcode。更新整个节,包括适当的节数量、入口点以及原始和虚拟值。也可以使用现有节创建代码洞穴来实现相同目的。
4. 处理被代码打包的PE文件,找到一个被打包的二进制文件,确定它是如何被打包的以及使用了什么打包器,然后研究解包代码的适当技术。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
