Interpretación de encabezados de PE (ejecutables portátiles) de archivos maliciosos sospechosos

2

Me estoy iniciando en el análisis de malware y estoy analizando un archivo para ver si está empaquetado u oculto.

Uso de PEview Estoy examinando los encabezados .text, .rdata y .data.

Sé que si hay una gran diferencia entre el Tamaño virtual (consumo de tamaño en la memoria) y el Tamaño en disco, es probable que esté empaquetado.

Mi pregunta es, ¿qué debo concluir de cada escenario?

  • Tamaño virtual = Tamaño en disco
  • Tamaño virtual > Tamaño en disco (más grande con una cantidad considerable, no solo algunos bits)
  • Tamaño virtual < Tamaño en disco (más pequeño con una cantidad considerable, no solo algunos bits)
pregunta Franko 19.06.2012 - 14:12
fuente

1 respuesta

1

El tamaño bruto es el que aparece en la sección de archivos. El tamaño virtual es el tamaño que tendrá durante el tiempo de ejecución. A menudo, el malware modificará estos segmentos de memoria durante el tiempo de ejecución. Estos segmentos podrían modificarse sin cambiar el tamaño virtual, pero a menudo ese no es el caso. Una forma de pensar acerca de esto es que se "desempaquetan" a sí mismos de un contenedor, de modo que mirar el binario estático no proporcionará mucha información sobre el funcionamiento interno del binario.

Si ve estos segmentos mientras se ejecutan con un depurador como ollydbg o windbg, probablemente tendrá una visión más precisa del malware. Sin embargo, el malware a menudo utiliza medidas anti-depuración. Por el contrario, hay complementos anti-anti-depuración para ollydbg. Es un juego de gato y ratón.

    
respondido por el rook 20.06.2012 - 02:10
fuente

Lea otras preguntas en las etiquetas