Archiv pro měsíc: Únor 2014

Rozšíření poslední sekce PE souboru (Last Section Expander)

Rozšíření poslední sekce kódu spadá společně s vytvořením nové poslední sekce (Last Section Appender) k nejzákladnějším technikám úpravy binárních Portable Executable (dále PE) souborů. V praxi to znamená, že změnou velikosti poslední sekce změníme velikost celého PE souboru. Díky tomu můžeme v námi vytvořeném prostoru libovolně pracovat. Můžeme sem vložit náš kód, který například dekóduje celý zbytek aplikace a na závěr ji spustí (tzv. run-time decrypter), můžeme sem přidat kód, který upraví běh aplikace (klasicky u aplikací, které bývají tzv. patchovány za běhu, aby došlo k odstranění zabezpečení – častěji se používají loadery a nebo statické patchery), přidání nové funkcionality do aplikace atd. Nejvíce tyto manipulace se soubory proslavily viry – tzv. PE infektory.
Celý příspěvek