Windowsローダーがアプリケーションを起動する処理プロセス それではWindowsローダーの処理を1つずつ順に追っていくことにしよう。 ●Windowsローダーによる「PEヘッダ」の解析 Windowsローダーは最初に、PEフォーマットで作成された実行可能ファイルのヘッダ部分、つまり「PEヘッダ」を調べて、どのような起動手順を踏めばよいかを理解する。従ってまずは、このPEヘッダの中身を調べてみよう。 私たち人間がPEフォーマットの内容を参照するためのツールとして、「dumpbin.exe」というコマンドライン・ツールがある。本稿ではこれを用いてPEヘッダの内容を解析する。なおdumpbin.exeは、マイクロソフトが提供する統合開発環境のVisual Studio .NETやVisual C++ .NETなどに付属するツールの1つなので、実際に読者諸氏がこのdumpbin.exeを使う
SUMMARY The Win32 Portable Executable File Format (PE) was designed to be a standard executable format for use on all versions of the operating systems on all supported processors. Since its introduction, the PE format has undergone incremental changes, and the introduction of 64-bit Windows has required a few more. Part 1 of this series presented an overview and covered RVAs, the data directory,
SUMMARY A good understanding of the Portable Executable (PE) file format leads to a good understanding of the operating system. If you know what's in your DLLs and EXEs, you'll be a more knowledgeable programmer. This article, the first of a two-part series, looks at the changes to the PE format that have occurred over the last few years, along with an overview of the format itself. After this upd
今日の多くの OS がそうであるように、Windows にも自作のプログラムコードを特定のプロセスへ介入させることのできる「フック」という仕組みがあります。自分自身のプロセスをフックすることもできますが、他のプロセスをフックすることで通常のアプリケーションプログラミングの枠を超えた様々な興味深い処理の実現が可能となります。 ・所定のプロセスに対する Windows メッセージの監視・捕捉 ・所定のプロセスでの特定のイベントに呼応する自作コードの注入 ・既存のアプリケーションの所作を変更 etc. 「自作のコードをあるプロセスに介入させる」とはどういうことでしょう? メモリ上のモジュールイメージにアクセスしてマシン語命令を書き換えて・・という怪しげな方法もありそうですが、Windows では DLL を利用することで比較的容易にこの命題を解決できます。 このことを逆に考えると、自作の DLL
Page 1 Page 2 Page 3 Page 4 Page 1 What is "Unpack"?? パックって何?アンパックって何? 英和辞書を引いてみましょう。 [pack] 包み、束、群れ、潜水艦隊、一組のトランプ・・・ 潜水艦隊って・・・?リムパックとかアレ? まあ、一通り出た後に、 (電算)パックする(データをより小さいビットに圧縮させ記憶させる) これですかねぇ。 要するに、皆様おなじみのZIPとかLZHなどの圧縮ファイルの変り種の一つです。 ZipやLzhなどのアーカイバとはどう違うのか?それは、 主に実行ファイルのみを実行可能のまま圧縮し、 ファイルを解凍する場所がメモリ上であることです。 パックされたEXEファイル オリジナルファイルnotepad.exeをパックしたPacked_Notepad.exeとの比較。アイコンが同じままなのに注
不揮発性データの分析 で検出したバイナリcmd.exe, nvuhgam32.exe, tnvztlp32.exeについて,その動作を解析する. 1.ウィルススキャン 手っ取り早くバイナリの正体を知るには,アンチウィルスベンダーが無償で提供するオンラインウィルススキャンを用いる.カスペルスキー社提供のファイルスキャナ によると,cmd.exeを除くnvuhgam32.exe, tnvztlp32.exeはマルウェアであることがわかった. この2つのバイナリは,Rbotとあるようにボットネットクライアントであり,下記文献によると,SDBotというボットネットの亜種であるようだ.スパイウェアとしての機能もあるらしい. (ところで,この本は仮想ハニーポットの手法を,ハイインタラクション型・ローインタラクション型に分類しながら解 説しており,特に9章の「Detecting Honeypots」
Other fields are defined in WINNT.H The third component of the PE header is a structure of type IMAGE_OPTIONAL_HEADER. For PE files, this portion certainly isn't optional. The COFF format allows individual implementations to define a structure of additional information beyond the standard IMAGE_FILE_HEADER. The fields in the IMAGE_OPTIONAL_HEADER are what the PE designers felt was critical informa
pefile is a multi-platform Python module to parse and work with Portable Executable (PE) files. Most of the information contained in the PE file headers is accessible, as well as all the sections' details and data. The structures defined in the Windows header files will be accessible as attributes in the PE instance. The naming of fields/attributes will try to adhere to the naming scheme in those
前回のPE Golfはコンソール版のHello worldで、プロゴルファーがアリアリ97bytesを提示したところで終わっていた。 のだが物好きな人は結構いるみたいで、GUI版のトラックバックが来たのでちょっと見てみた。 しかし一年経つと全く覚えていない。とりあえず189bytesは勝てそうにないので、97bytes版と同じインチキをしてみることにしたところ112bytes版が完成。たぶんXP SP2でしか動きません。 BITS 32 ORG 0 ImageBase equ 0x00400000 user32dll equ 0x7c84f004 ; !! LoadLibraryA equ 0x7c801d77 ; !! MessageBoxA equ 0x77d3058a ; !! filealign equ 4 sectalign equ 4 ; must be 4 because o
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く