集成可疑恶意软件文件的PE (便携式可执行)头
集成可疑恶意软件文件的PE (便携式可执行)头
提问于 2012-06-19 12:12:46
我正在启动恶意软件分析,我正在分析一个文件,看看它是打包的还是模糊的。
使用PEview,我正在检查.text、.rdata和.data头。
我知道,如果虚拟大小(内存上的大小消耗)和磁盘上的大小有很大的差别,那么它可能是打包的。
我的问题是,我应该从每一种情景中得出什么结论?
- 虚拟大小=磁盘上的大小
- 虚拟大小>磁盘上的大小(较大的磁盘数量,而不仅仅是一些比特)
- 虚拟大小<磁盘上的大小(较小,数量较大,而不仅仅是一些位)
回答 1
Security用户
发布于 2012-06-20 00:10:11
原始大小与文件中显示的大小相同。虚拟大小是它在运行时的大小。恶意软件通常会在运行时修改这些内存段。这些段可以在不更改虚拟大小的情况下进行修改,但通常情况下并非如此。考虑到这一点的一种方法是,他们将自己从容器中“解压缩”,这样观察静态二进制就无法提供对二进制内部工作的深入了解。
如果您在哪里查看这些片段,同时在其中运行调试器,如ollydbg或windbg,则可能会更准确地查看恶意软件。然而,恶意软件经常使用反调试器措施.相比之下,ollydbg有反反调试插件。这是一场猫和老鼠的游戏。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/16229
复制相关文章
相似问题
腾讯云开发者
