Según lo que sé, Overlay es la parte del archivo PE que no está cubierta por el encabezado PE y, por lo tanto, no forma parte de la imagen virtual en el PE cargado.
Mi pregunta es si la superposición no se carga junto con el resto del código de PE (secciones) en la memoria. ¿Cómo se ejecutan los virus de superposición? ¿Leen el archivo desde el disco /
Por virus de superposición, quiero decir, ¿malware que ejecuta código malicioso desde su superposición?
La superposición es solo datos añadidos al final del archivo ejecutable. Detectar esto puede ser complicado. Pero tenga en cuenta que esta parte solo se ignora cuando se carga un ejecutable en la memoria. Abrir el archivo para leer le permitirá acceder a todo el archivo, incluida la parte de Superposición.
El encabezado PE contendrá el tamaño del archivo ejecutable, y puedes intentar basar el inicio de la sección de superposición en esto. Sin embargo, este tamaño podría ser de cualquier tamaño, incluido cero o 0xffffffff .
Lo más probable es que los virus utilicen la parte ejecutable para obtener un punto de apoyo en el sistema, y luego carguen más códigos sospechosos en la memoria desde la superposición una vez que tengan los permisos adecuados. En este caso, el virus ya sabe dónde encontrar el código adicional en el archivo.
La ventaja aquí podría ser que las acciones iniciales del EXE permitirán que se ejecuten los detectores de virus, y la parte de superposición no se tiene en cuenta.
Cómo agregar datos a un EXE es un pequeño artículo que habla sobre cómo se puede hacer esto por medios legítimos .
Lea otras preguntas en las etiquetas malware windows antivirus antimalware reverse-engineering