32位Windows系统下的PE文件结构及其应用

PE文件结构是Win32环境所带的可执行文件格式,该结构由Dos'MZ'Header,DosStub,PEHeader,SectionTable,Section等5大部分组成,各部分之间通过指针相互联系形成一个整体,借助这些指针即可实现对任何一个可执行文件的内部结构和所用到的资源进行分析的操纵.

基于逃避行为检测的特洛伊木马技术研究

为了防范新一代木马的攻击,深入研究了逃避行为检测技术,提出SDT(Service Descriptor Table)恢复方法和TDI(Transfer Driver Interface)&NDIS(Network Driver Interface Specification)恢复方法。SDT恢复方法根据SDT初始使化指令特征,直接从内核文件ntoskrnl.exe读取SDT,并在一种新的用户模式下读写内核空间技术,实现SDT恢复,使木马在植入、运行时可逃过行为检测。TDI&NDIS恢复方法根据行为检测截获通信原理,采用预保存通信入口技术,使木马在通信时可逃过行为检测。实验表明,采用SDT和TDI&NDIS恢复方法可逃避行为检测软件的检测。

堆栈溢出攻击的分析及防范

堆栈溢出 ( Stack overflow)攻击是当前攻击计算机的一种常用手段 .首先对各种类型的堆栈溢出漏洞和攻击手段进行分析 ,然后针对这些漏洞讨论已有的各种预防攻击的办法 ,最后提出了一种利用动态修改堆栈空间和静态植入二进制代码的方法来实现对于堆栈的保护 .分析结果表明 ,由于所监控的函数本身对效率的要求不高 ,同时被系统调用的次数不多 ,所插入的代码一方面很好地防御了通常的堆栈溢出攻击 ,另一方面对于整个程序的效率也几乎没有任何影响 ,而且对于新发现的具有安全漏洞的函数 ,只要将其加入监控函数列表 ,就可以使整个程序的架构保持不变 。

32位Windows系统下PE文件的软件加密解密方法

PE文件格式(Portable Executable File Format)是32位Windows操作系统引入的可执行文件格式.本文介绍了PE文件的格式,对格式中重要的部分及其在Windows操作系统下的装入机制进行了详细的分析。最后提出了用软件对PE可执行文件的加密解密方法。

向PE文件中插入可执行代码的研究

根据Win32PE文件的结构特征,实现了两种不同的向PE文件中插入可执行代码的方法:(1)在本节中的未用空间中插入代码;(2)添加新的节。指出在编写要添加的代码的过程中,要注意插入代码的变量地址的重定位和代码返回改动态获取API入口地址等问题。

基于PE节插入的绑定技术研究

根据Win32PE文件的结构特征,通过扩充资源段的方法实现向PE文件中插入可执行代码,解决插入代码变量地址的重定位和代码返回改动态获取API入口地址等问题。

针对Windows下闭源二进制可执行文件热补丁的研究

随着计算机科学技术的飞速发展,越来越多的厂商与作者为保护程序算法知识产权,选择将自己的代码程序以闭源的形式发布,导致很多闭源软件存在不同程度的安全问题。如何对已经产生安全事件的闭源二进制文件进行修复已逐渐成了安全应用的重要课题,本文就此问题进行探讨,以Windows x86架构为框架,详细分析了文件静态补丁技术的可行性,并给出了针对此问题的基本解决方案,最终达到在无源码的情况下对文件漏洞修复的目的。