返回
可执行文件分析.pdf

可执行文件分析.pdf

ID:50712118

大小:948.33 KB

页数:9页

时间:2020-03-07

可执行文件分析.pdf_第1页
可执行文件分析.pdf_第2页
可执行文件分析.pdf_第3页
可执行文件分析.pdf_第4页
可执行文件分析.pdf_第5页
资源描述:

《可执行文件分析.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、可执行文件分析这里讨论的可执行文件分析不包括反汇编和逆向工程中涉及的内容,仅仅是一般管理员和调查人员分析的一般手法。静态分析:所谓的静态分析就是在不运行可执行文件的前提下对文件进行分析,收集信息的方法的统称。一般情况下用文本打开一个只执行文件,会出下一堆的乱码,但是可执行文件也有自己的格式,符合一定得规律,完全可以从windows可执行文件找到信息。记录文件信息:分析文件之前首先给文件建档,记录文件相关信息,即就是记录文件所在系统、文件的全路径及谁什么时候发现的等内容。然后记录可疑文件是如何找到的。越详细越好,如通过什么确证分析工具在系

2、统中找到的信息。此外还要记录下系统的版本、补丁版本以及其他的信息如分区的类型。除了以上的内容还要记录文件的MAC时间、文件系统中对他的引用及注册表中涉及他的键。最后给文档进行完整性的检验的加密操作,使用MD-5,SHA-1等算法。分析可执行文件;先使用杀毒软件查看可以的文件,然后使用strings.exe工具提取可疑文件中包含特定长度的字符串。通过查看这些字符串,对可疑文件作判断。另外一个提取字符串的工具是BinText。他可以定位于二进制文件中ASCII,unicode及资源段中的字符串,并且连偏移位置显示在图形用户界面。Pedump

3、.exePEview.exe上述两个软件可以查看可执行文件更多的信息。可以参考《Win32PE可执行文件深入分析》两个文件包含了关于PE文件的详细的格式。PE文件可以分为几个部分。第一个,可能也是最重要的部分是IMAGE_DOS_HEADER.这部分的前两个字节是PE文件的文件签名MZ(十六进制的0x%A4D)。这昂个字母是微软公司设设计可执行行文件格式的系统架构师的名字的缩写,不过文件能够执行并不是靠这两个字和.exe的扩展名来决定的。整个IMAGE_DOS_HEADER结构共有64B组成。除了刚才讲的PE文件签名之外,这个结构的最后

4、一个DWORD(4B)也很重要,这个DWORD是e_lfanew,在ntimage.h中头文件中定义是指向真正的PE头部起始位置的指针——e_lfanew中的值就是IMAGE_DOS_HEADERS结构在PE文件中的偏移量。Windows只有读取了IMAGE_DOS_HEADERS中的信息,才能解析可执行程序其余部分的含义,进而把文件加载到内存中并执行。MZe_lfanewIMAGE_NT_HEADERS结构在文件中的偏移量应该是0xB8(也就是十进制的184)。它包括一个签名和IMAGE_FILE_HEADER及IMAGE_OPTIO

5、NAL_HEADER两个结构.PE签名很简单就是字母PE再加上两个0(是个DWORD,共4B,可以表示为PE00)。签名接下来IMAGE_FILE_HEADER结构,紧接在PE签名之后,包含20B。这个结构中有几个值对调查取证时很有用处的。使用PEview查看PE_file_header结构查看。图PEview查看IMAGE_FILE_HEADER结构图使用PEexporer查看pe格式信息对TimeDateStamp显得特别有用,他编译时连接器创建可执行文件的时间。它通常指程序员编译生成该可执行文件时的系统时间,IMAGE_F

6、ILE_HEADER中段的数量应该和PE文件中段的数目相吻合。同时IMAGE_FILE_HEADER结构中也提供了该文件一些特征。FlagValueDescriptionIMAGE_FILE_RELOCS_STRIPPED0x0001Imageonly,WindowsCE,andMicrosoftWindowsNT®andlater.Thisindicatesthatthefiledoesnotcontainbaserelocationsandmustthereforebeloadedatitspreferredbaseaddress.

7、Ifthebaseaddressisnotavailable,theloaderreportsanerror.Thedefaultbehaviorofthelinkeristostripbaserelocationsfromexecutable(EXE)files.IMAGE_FILE_EXECUTABLE_IMAGE0x0002Imageonly.Thisindicatesthattheimagefileisvalidandcanberun.Ifthisflagisnotset,itindicatesalinkererror.IMAG

8、E_FILE_LINE_NUMS_STRIPPED0x0004COFFlinenumbershavebeenremoved.Thisflagisdeprecatedandshouldbezero.IMAGE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。