PE文件格式研究及修改

详细介绍PE文件格式,包括文件头、节表、节、资源目录、资源等等。研究如何用对各部分的内容进行读取分析,及对原PE文件的内容进行可行的修改、检验、导入导出等功能。通过修改达到对原有PE文件内容的替换、加密、反修改等。     

PE文件格式研究及修改

详细介绍PE文件格式，包括文件头、节表、节、资源目录、资源等等。研究如何用对各部分的内容进行读取分析，及对原PE文件的内容进行可行的修改、检验、导入导出等功能。通过修改达到对原有PE文件内容的替换、加密、反修改等。     

面向PE病毒检测的行为特征分析方法研究

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。     

拒绝TM重命名

笔者在上班时间经常用腾讯TM与同事沟通和传送文件,为了防止用户误点击病毒,在默认设置下用TM不能传送EXE格式的文件,虽然修改安全级别后可以传送,但文件会被强制加上“重命名”的后缀,即使不小心双击了这     

一种基于指令的PE病毒检测策略

分析PE文件的格式和PE病毒的感染方法,然后讨论PE病毒常用的指令,进而指出一种能检测PE病毒的方法:指令检测法,该方法能有效地检测到已知和未知的PE病毒.     

病毒警报

“千面杀手”复合型病毒在国内出现,已引起国家安全部门重视。此病毒传播迅速,极易感染,发作时可能会造成系统损坏,网络瘫痪,丢失文件等严重后果。 此病毒具有极强复合性,兼具病毒,木马,蠕虫特征。它主要通过E-mail、局域网等方式传播感染。 它是一种win32 PE格式文件病毒,主要感染win9x/NT系统。在系统被感染时,它首先修改系统注册表,并且在系统目录中会生成     

浅析PE文件脱壳技术

如今随着大家对知识产权保护的重视,使得对于自己程序的加壳保护也变得越来越普遍。除此之外,这一技术也被广泛用于病毒和木马之中,使其不易被杀毒软件查杀。其中,PE文件的加壳尤为常见,若想对其进一步的研究,脱壳是必不可少的。本文首先介绍了PE文件结构和现阶段的加壳技术,其次阐述了脱壳原理和常见方法。     

基于分类的未知病毒检测方法研究

文章提出了一种以PE文件静态信息作为特征,通过分类来对未知病毒进行检测的方法。采用初始聚类中心优化的K—means聚类算法实现对病毒文件的相似度检测,无需运行PE文件即可判定是否为病毒。该方法可以克服病毒特征码扫描技术无法识别未知病毒的缺点,且相对于API序列检测方法免去了对文件进行脱壳等复杂操作,明显提高了检测速度。实验结果表明分类检测方法具有较好的准确性,有一定的应用价值。     

对PE文件修改的一种解决方案PEPatch

首先分析了PE文件的基本结构,着重说明了PE头及节表结构,然后介绍了如何增加一个节表并修改入口点到这个新加节表中的技术.通过这种技术,程序运行起来时可以执行事先指定的代码,以达到修改或者增加程序功能的目的.此外,本文在理论的基础上给出一个雏形结构,称之为PEPatch,通过这个结构可以在未得到文件源码的情况下,加强这个文件的功能,或者在需要修改文件bug以及其他要求的情况下,也可以顺利实现对这个文件的修改.     

文件校验 让下载更加安全

现如今网络中各式各样的陷阱越来越多,为此安全专家常常提醒网络用户,不要到不知名的网站下载软件。为什么会有这样的提醒呢?主要是很多网站会在文件上捆绑流氓软件甚至木马病毒。还好,现在有了文件校验码,利用它就知道文件是否被修改过,或者文件的哪一部分出现了缺失,甚至还可以起到防止木马、病毒的作用。     

计算机病毒与反病毒检测系统技术分析

针对计算机被病毒感染和破坏造成严重损失,在分析了计算机病毒的特征和反病毒检测系统技术的基础上,提出了一种高效的病毒特征检测机制.首先,例举先进的反病毒技术有实时扫描技术,启发式代码扫描技术,虚拟机技术和主动内核技术等;然后,分析了二进制可执行病毒脚本病毒和宏病毒的特征提取技术,设计出一个简单蜜罐系统来获取病毒样本;其次,为了解决特征代码不能检测未知病毒的问题,对引擎做了改进,提出了一种融合AC自动机匹配算法和BM算法的ACBM多模式匹配算法.算法在匹配病毒特征时,具有效率高,速度快和准确度高的特点,以特征代码法为基础杀毒软件是病毒检测系统是下一步研究目标.     

PE文件的信息隐藏方案与实现

论文从一个全新的角度来研究信息隐藏技术,首次将PE文件作为掩护媒体引入信息隐藏领域。在分析PE文件结构和PE文件实现信息隐藏原理的基础上,给出了基于PE文件的信息隐藏方案,分析表明PE文件完全可以作为掩护媒体。     

基于信息隐藏技术的PE病毒防治

提出一种基于信息隐藏技术的方法来防范和对付PE病毒.该方法利用PE文件结构和PE病毒只侵袭可执行文件而不攻击数据文件的特性,将可执行文件头隐藏于数据文件之中,达到保护可执行文件的目的.实验验证了该方法的可行性.分析了该方法的长处和不足,与其它防病毒方法相比,该方法具有很好的信息隐藏量,能防范已知的可执行文件类计算机病毒,也能防范未知的和未来的该类计算机病毒.     

PE文件格式剖析

主要分析了PE(Portable Executable)文件格式，重点探讨了PE文件中的输入表、输出表以及资源段的格式，还探究了在微软全新的．Net平台上对PE文件的扩展，给出了一些分析PE文件格式的工具。     

抗相似性攻击的PE文件软件水印的研究

本文从一个新的角度提出了软件水印方案,将PE文件作为软件水印的载体;在详细分析PE文件结构和水印注入的原理后,给出了基于PE文件的水印注入方案。水印信号分散在所选PE文件的区块内,对水印加密后,根据每个区块的比特特点进行编码后再注入,对其实验,判定具有较强的鲁棒性,能够在一定程度上抵御相似性攻击等多种攻击手段。     

一种变换PE文件引入表结构的软件水印

通过分析PE文件引入表结构特点与模块函数调用方式,提出一种新的变换引入表结构的软件水印方法。新方法将数字水印信息隐藏于PE文件引入表模块与函数的排列顺序之中。分析表明,该方法比利用PE文件冗余空间和资源结构的水印算法有更好的隐蔽性和更强的鲁棒性,提供了更加安全的软件版权保护方式。     

一种PE文件加壳检测规则

在恶意代码自动分析系统中,对恶意样本进行文件格式检查,并判断其是否被加壳是对其进行自动分析的第一步。为了对加壳PE可执行文件实现更加准确的识别,提出一个基于文件头和部分文件内容的PE文件加壳检测规则(NFPS)。通过提取PE文件中5个方面的特征值,并按照NFPS规则进行计算,即可判定PE文件是否被加壳。经测试,其检测率高达95%以上,并支持多层壳的循环检测。     

32位Windows系统下 PE文件的软件加密解密方法

PE文件格式（Portable Executable File Format）是32位Windows操作系统引入的可执行文件格式．本文介绍了PE文件的格式，对格式中重要的部分及其在Windows操作系统下的装入机制进行了详细的分析。最后提出了用软件对PE可执行文件的加密解密方法。     

基于信息隐藏技术的可执行文件防病毒侵袭方法

可执行文件病毒是计算机病毒家族中最重要的类型之一。这类病毒的特点是只感染和侵袭可执行文件(．exe，．com，．sys等)。如何对付该类病毒，本文提出了一种基于信息隐藏技术的防范该类病毒的新方法。该方法利用该类病毒只侵袭可执行文件，而不攻击数据文件的特性，将可执行文件隐藏于数据文件之中，达到保护可执行文件的目的。文中给出了将可执行文件隐藏于图像和从图像中取出的算法。实验验证了该方法的可行性。文中还分析了该方法的长处和不足。和其它防病毒方法相比，该方法的最大长处在于它不但能防范已知的可执行文件类计算机病毒，也能防范未知和未来的该类计算机病毒。