La superposición es solo datos añadidos al final del archivo ejecutable. Detectar esto puede ser complicado. Pero tenga en cuenta que esta parte solo se ignora cuando se carga un ejecutable en la memoria. Abrir el archivo para leer le permitirá acceder a todo el archivo, incluida la parte de Superposición.
El encabezado PE contendrá el tamaño del archivo ejecutable, y puedes intentar basar el inicio de la sección de superposición en esto. Sin embargo, este tamaño podría ser de cualquier tamaño, incluido cero o 0xffffffff
.
Lo más probable es que los virus utilicen la parte ejecutable para obtener un punto de apoyo en el sistema, y luego carguen más códigos sospechosos en la memoria desde la superposición una vez que tengan los permisos adecuados. En este caso, el virus ya sabe dónde encontrar el código adicional en el archivo.
La ventaja aquí podría ser que las acciones iniciales del EXE permitirán que se ejecuten los detectores de virus, y la parte de superposición no se tiene en cuenta.
Cómo agregar datos a un EXE es un pequeño artículo que habla sobre cómo se puede hacer esto por medios legítimos .