Intepreting di intestazioni PE (Portable Executable) di file malware sospetti

2

Sto avviando l'analisi del malware e sto analizzando un file per vedere se è imballato o offuscato.

Utilizzo di PEview Sto esaminando le intestazioni .text, .rdata e .data.

So che se c'è una grande differenza tra Dimensione Virtuale (consumo di dimensioni nella memoria) e Dimensione su Disco, probabilmente è imballata.

La mia domanda è, cosa devo concludere da ogni scenario?

  • Dimensione virtuale = Dimensione su disco
  • Dimensione virtuale > Dimensione su disco (più grande con una quantità considerevole, non solo alcuni bit)
  • Dimensione virtuale < Dimensione su disco (più piccola con una quantità considerevole, non solo alcuni bit)
posta Franko 19.06.2012 - 14:12
fonte

1 risposta

1

La dimensione non elaborata è come appare nella sezione. La dimensione virtuale è quanto sarà grande durante il runtime. Spesso il malware modificherà questi segmenti di memoria durante il runtime. Questi segmenti potrebbero essere modificati senza modificare le dimensioni virtuali, ma spesso non è questo il caso. Un modo di pensare a questo è che essi "scompattano" da un contenitore in modo tale che guardare il binario statico non fornirà molte informazioni sul funzionamento interno del file binario.

Se sei in grado di visualizzare questi segmenti mentre sono in esecuzione con un debugger come ollydbg o windbg, probabilmente avrai una visione più accurata del malware. Tuttavia, il malware spesso utilizza misure anti-debuggin. Al contrario ci sono i plugin anti-anti-debug per ollydbg. È un gioco di gatto e topo.

    
risposta data 20.06.2012 - 02:10
fonte

Leggi altre domande sui tag