In base a quanto so, Overlay è la parte del file PE che non è coperta dall'intestazione PE e quindi non fa parte dell'immagine virtuale nel PE caricato.
La mia domanda è se la sovrapposizione non viene caricata insieme a tutti gli altri codici PE (sezioni) in memoria, come vengono eseguiti i virus di sovrapposizione? Loro leggono il file dal disco /
Per overlay virus intendo malware che esegue codice dannoso dal suo overlay?
L'overlay è solo dati aggiunti alla fine del file eseguibile. Rilevare questo può essere complicato. Ma tieni presente che questa parte viene ignorata solo quando si carica un eseguibile in memoria. L'apertura del file per la lettura consentirà l'accesso all'intero file, inclusa la parte Overlay.
L'intestazione PE conterrà la dimensione dell'eseguibile e su questa potrai provare a basare l'inizio della sezione di sovrapposizione. Tuttavia, questa dimensione può essere di qualsiasi dimensione, compresi zero o 0xffffffff .
Molto probabilmente i virus utilizzano la parte eseguibile per ottenere un punto d'appoggio nel sistema, quindi caricano in memoria più codici sospetti dall'overlay una volta che dispongono delle autorizzazioni appropriate. In questo caso il virus sa già dove trovare il codice aggiuntivo nel file.
Il vantaggio qui potrebbe essere che le azioni iniziali dell'EXE permetteranno di superare gli scanner antivirus e la porzione di overlay non verrà presa in considerazione.
Come aggiungere dati a un EXE è un piccolo articolo che parla di come questo può essere fatto per mezzi legittimi .
Leggi altre domande sui tag windows reverse-engineering malware antivirus antimalware