windows - Hvilke dele/afsnit af PE-filer (.exe. dll) indeholder de fleste deres adfærd?

Indlæg af Hanne Mølgaard Plasc

Problem



Jeg laver Windows Malware Research ved maskinindlæringsmetode. Jeg læste PE-formatet ved at bruge dumpbin til at udtrække PE-filer og fandt ud af at der er mange dele derinde. Fx: .idata .edata .pdata .data .rdata .sxdata .text .rscr .tls ... Men ikke alle er brugt til handlinger/adfærd. Jeg er bare interesseret i deres adfærd og reducerer de store data inden de næste trin. Tak

Bedste reference


Da du analyserer malware, skal du ikke kigge på sektionernes navn. Det er ikke svært for en malware-udvikler at ændre navnene på sektionerne, og msvc-kompilatoren giver dig også mulighed for at oprette brugerdefinerede afsnit.


I stedet hvad du skal gøre, er at se på sektionernes egenskaber. Ved at læse IMAGE\_SECTION\_HEADER kan du se, om sektionen indeholder eksekverbar kode, statiske data, hvis den kan skrives osv.

Andre referencer 1


Jeg fandt en officiel doc fra Microsoft. Her lige ned ordet files.I læse at .text er kodesektionen. [2]

Andre referencer 2


Jeg regnede det med @ user2073973. Han mener sektionen har ordet 'kode' i overskriftsafsnittet.
Sådan her:


SECTION HEADER #1
   .text name
   522B9 virtual size
    1000 virtual address (00401000 to 004532B8)
   52400 size of raw data
     400 file pointer to raw data (00000400 to 000527FF)
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
60000020 flags
         Code
         Execute Read


Han havde ret om ikke kun .text sektion har kode. Brugernavnssektionen har også kode der.