检查PE头完整性
我创建了一个使用人工神经网络识别恶意文件的项目。我将PE结构中的一些选定特征作为神经网络的输入,并且正确地对文件进行分类。但是参考这个答案:" https://security.stackexchange.com/questions/37921/windows-pe-file-and-malwares&#34 ;;它说代码可以注入PE,可选标题中的值可以改变!我想知道是否有任何方法可以知道PE结构是否已被修改? 关于将代码注入PE文件的另一个链接:http://www.codeproject.com/Articles/12532/Inject-your-code-to-a-Portable-Executable-file
1 个答案:
答案 0 :(得分:0)
如果您没有orignal二进制文件但是每个编译器或打包器都有签名(您可以使用rdg查看例如http://www.rdgsoft.net/),您无法知道pe是否被修改了您可以使用它来查看如果此签名不在此处,但即使二进制文件被修改,签名也可能在此处。
否则,您可以查看二进制文件是否具有奇怪的部分,或者结构中的某些值是否不合逻辑
你也可以看到每个部分是否有正确的保护.text - >执行等。
如果您想了解更多信息,请查看此链接
https://github.com/katjahahn/PortEx/tree/master/masterthesis
您可以阅读恶意软件的差异策略(附加到orignal binary或prependeing or divide in multi part)以及如何检测它。
例如
您应在导入表LoadLibrary,GetProcAddress等
以及他在实践中测试这些方法的工具:
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?