通过PEviewer检查DLL和EXE的PE标头时,我发现了一个称为“幻数”的东西。

谷歌搜索“魔数”后。我发现它用于确定文件类型。我的问题是,恶意软件分析程序如何从这个魔幻数字中受益?为什么在PE标头中?

#1 楼

幻数是访问文件以确定其类型时使用的一组字节。例如,标准的Microsoft PE开头为(以ASCII码)MZ,它是MS-DOS开发人员之一的缩写。 ,范围从受支持的平台,符号数,部分数,时间戳等。因此,它是存储幻数的逻辑位置,因为它也是文件元数据的一部分。


恶意软件分析师如何从该幻数中受益?由恶意软件分析师或任何类型的分析收集。尽管可以参考文件扩展名来检查文件类型,但是可以在不影响文件内容的情况下对其进行更改。因此,检查幻数是确定真实文件类型的一种方法。然后,差异将表明潜在的恶意行为或试图隐藏数据。

评论


您能给我提供其他Populer文件类型的恶意软件的幻数吗?

–艾哈迈德(Ahmed)
14年8月3日,12:57

@Ahmed:Wikipedia包含许多列表:en.wikipedia.org/wiki/List_of_file_signatures。

–JamalS
14年8月3日,13:15

@艾哈迈德:你弄错了。恶意软件没有“魔数”。他们的容器做。恶意软件可以隐藏在可执行文件中,也可以隐藏在PDF,JPEG甚至DOS批处理文件中。

–杂件
14年8月3日,13:54

@Ahmed:是的,不要将文件类型与恶意软件混淆。文件类型用作存储恶意代码的一种方式。

–JamalS
2014年8月3日在15:02