PE

Entry Point Obscuring (EPO) 1.

Pojmem Entry Point Obscuring je označována skupina virových technik, jejímž cílem je, jak název napovídá, skrýt skutečné místo, kde dochází ke spuštění virového těla. Obecně řečeno: Vir může převzít kontrolu nad vykonáváním kódu kdykoliv během běhu infikované aplikace. V praxi to znamená, že je takový kód mnohem hůře detekovatelný, než je tomu u klasických infektorů.

Vytvoření nové sekce PE souboru (Last Section Appender)

V předchozím článku jsem popsal způsob, jakým je možné rozšířit poslední sekci Portable Executable (dále jen PE) souboru. Kromě techniky rozšíření poslední sekce existuje i technika vytvoření nové poslední sekce. Tento článek popíše, jak takovou sekci vytvořit, jak do ní zkopírovat vlastní kód a jak zajistit jeho spuštění před tím, než dojde ke spuštění legitimní …

Vytvoření nové sekce PE souboru (Last Section Appender) Pokračovat ve čtení »

Rozšíření poslední sekce PE souboru (Last Section Expander)

Rozšíření poslední sekce kódu spadá společně s vytvořením nové poslední sekce (Last Section Appender) k nejzákladnějším technikám úpravy binárních Portable Executable (dále PE) souborů. V praxi to znamená, že změnou velikosti poslední sekce změníme velikost celého PE souboru. Díky tomu můžeme v námi vytvořeném prostoru libovolně pracovat. Můžeme sem vložit náš kód, který například dekóduje …

Rozšíření poslední sekce PE souboru (Last Section Expander) Pokračovat ve čtení »