PE文件(.exe .dll)的哪些部分/部分包含大部分行为?

时间:2017-03-20 06:21:46

标签: windows exe portable-executable malware dumpbin

我正在通过机器学习方法进行Windows恶意软件研究。我读了PE格式,使用dumpbin提取PE文件,发现里面有很多部分。例如:.idata .edata .pdata .data .rdata .sxdata .text .rscr .tls ...但并非所有这些都用于操作/行为。我只关心他们的行为并在下一步之前减少大数据。感谢

3 个答案:

答案 0 :(得分:3)

由于您正在分析恶意软件,因此您不应该查看这些部分的名称。恶意软件开发人员不难更改部分的名称,msvc编译器还允许您创建自定义部分。

相反,您应该做的是查看各部分的特征。通过阅读IMAGE_SECTION_HEADER,您可以看到该部分是否包含可执行代码,静态数据,是否可写等。

答案 1 :(得分:1)

我找到了微软的官方文档。 Here只是单词文件。我读到.text是代码部分。

答案 2 :(得分:1)

我是@ user2073973想出来的。他的意思是该部分在标题部分中有“代码”一词。 像这样:

SECTION HEADER #1
   .text name
   522B9 virtual size
    1000 virtual address (00401000 to 004532B8)
   52400 size of raw data
     400 file pointer to raw data (00000400 to 000527FF)
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
60000020 flags
         Code
         Execute Read

他不仅是正确的.text部分有代码。自定义名称部分也有代码。