Публикации по теме 'portable-executable'
Обнаружение вредоносных программ на основе аномалий — 2
Основная цель этого проекта — обнаружить вредоносные PE-файлы, а также определить, является ли URL-адрес вредоносным или нет, с использованием машинного обучения. Для этого мы использовали алгоритм случайного леса и алгоритм линейной регрессии для обучения и тестирования детектора вредоносных программ PE и детектора URL соответственно. Используя эти методы, мы намерены научить наши модели обнаруживать вредоносные файлы и URL-адреса. Основная идея любой задачи машинного обучения состоит..
Вопросы по теме 'portable-executable'
Детерминированные сборки под Windows
Конечная цель - сравнить 2 двоичных файла, созданных из одного и того же источника в одной и той же среде, и определить, что они действительно функционально эквивалентны.
Одно из приложений для этого - сосредоточить время контроля качества на...
5446 просмотров
schedule
08.12.2022
Родное приложение Linux для редактирования Win32 PE, например ResHacker
Я хочу запустить службу автоматического изменения .dll, пользователи отправляют конкретную .dll, я изменяю ее на сервере, после чего пользователь может загрузить модифицированную версию .dll. Существуют ли какие-либо собственные приложения для Linux,...
1396 просмотров
schedule
19.01.2024
Разъяснение по форматам и терминологии двоичных файлов (PE / COFF и ELF)
Немного путаю в терминологии.
Файл, который передается компоновщику в качестве входных данных, называется объектным файлом . Компоновщик создает файл изображения , который, в свою очередь, используется загрузчиком в качестве входных данных....
5946 просмотров
schedule
14.06.2023
Как использовать двоичный файл (dll) WM2003 на устройстве Windows Mobile 6.1 (WM6.1)? (PE-загрузчик не принимает старые двоичные файлы)
Привет!
У меня есть старый плагин (как бинарный, dll), используемый моим приложением. Он был построен для WM2003 . А теперь вылетает приложение, если оно загружено на Windows Mobile 6.1 ( WM5 работает нормально, WM6 тоже).
Исходный...
532 просмотров
schedule
03.06.2024
Почему мой PE-файл недействителен?
Я уже задавал аналогичный вопрос, "Требования к заголовку PE" , но я не очень доволен этим отвечать.
Я создаю ассемблер/компоновщик в Java SE 1.6. Я прочитал около 5 различных документов/спецификаций о заголовке PE/COFF и формате файла, но я...
17071 просмотров
schedule
04.11.2023
Как найти значок по умолчанию в ресурсах исполняемого файла?
Мне нужно программно найти значок по умолчанию для исполняемого файла Windows (PE-файл = dll, exe, com ..). Я знаю, как пройтись по ресурсам и определить, что такое значок, что такое курсор и т. Д., Но, насколько мне известно, ни один из значков...
2395 просмотров
schedule
01.06.2023
О магическом числе ПЭ
0x10b : PE32 executable
0×107 : ROM image
0x20b : PE32+ (64 bit) executable
Что такое ROM image ?
1553 просмотров
schedule
03.04.2023
О таблице релокаций в заголовке DOS EXE
Из приведенного выше видно, что количество записей в таблице перемещений равно 0 (элемента перемещения нет), но смещение первого элемента перемещения показывает, что элемент перемещения действительно существует.
Определение заголовка DOS...
1945 просмотров
schedule
30.01.2024
Что находится в части Unmapped Data PE?
Кто-нибудь знает?
Мне кажется, что большую часть места PE занимает Unmapped Data , так ли это в большинстве случаев?
526 просмотров
schedule
23.07.2023
Виртуальная машина песочницы для приложения (концепция)
Я хотел бы написать виртуальную машину-песочницу для выполнения скомпилированной программы. Моя цель - изолировать эту программу от остальной части операционной системы и контролировать ее выполнение, чтобы она не могла причинить вред...
966 просмотров
schedule
30.03.2023
Компиляция переносимого Perl и включение модуля CPAN
Я пытаюсь скомпилировать переносимую версию perl, содержащую модуль CPAN, в частности модуль YAML. Я намереваюсь скопировать эту портативную версию в свой домашний каталог на многих компьютерах с Redhat Linux, добавить ее в свою $PATH и использовать...
1144 просмотров
schedule
25.12.2022
Как программно читать собственный импорт DLL в С#?
Как я могу программно проанализировать собственную DLL, чтобы прочитать ее импорт?
[EDIT: мой первоначальный вопрос выглядел следующим образом, вместе с огромным куском дефектного кода. Пожалуйста, смотрите ответы ниже для более правильного...
6391 просмотров
schedule
25.05.2022
Как мне получить хэш sha-256 раздела, содержащего код в переносимом исполняемом файле, в Delphi?
Я хотел бы получить хеш sha-256 для раздела, содержащего код (.text, CODE) в переносимом исполняемом файле в Delphi.
До сих пор я пытался получить начальный и конечный адрес раздела, на который указывает AddressOfEntryPoint, но если я загружаю один...
1262 просмотров
schedule
14.06.2022
Обнаружение цифровой подписи без WinVerifyTrust
У меня есть большое количество EXE-файлов, и мне нужно выяснить, какие из них имеют цифровые подписи. Кто-нибудь знает, есть ли способ проверить без доступа к WinVerifyTrust (они все на сервере Unix).
Кажется, я не могу найти никакой информации о...
1352 просмотров
schedule
25.02.2023
Точка входа заголовка PE RVA
У меня возникла проблема с исполняемым вредоносным ПО типа .net, x86, pe32, которое я анализирую на виртуальной машине. Поле точки входа не равно NULL, поэтому это исключает выполнение, начиная с 0x0.
Когда я разрываюсь с отладчиком в точке входа...
645 просмотров
schedule
24.11.2022
Формат PE — вопросы IAT
Я пытаюсь написать упаковщик exe для окон. У меня есть некоторые из основ, разработанных до сих пор. Тем не менее, часть, которой я занимаюсь, - это чтение «Таблицы каталогов BOUND IMPORT» (или раздела .idata?), в основном раздела PE-файла, который...
3703 просмотров
schedule
12.06.2023
Загрузка заголовков PE
По сути, я пытаюсь найти последний раздел PE-файла. Я очень внимательно прочитал спецификацию PE, но не могу понять, где мой код дает сбой.
PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)buffer;
PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)(pidh +...
16145 просмотров
schedule
09.04.2023
Список импортированных функций из PE-файла, если dll явно связана с помощью LoadLibrary
У меня есть требование перечислить все импортированные функции путем разбора PE. Если exe или dll неявно связывает dll (используя библиотеку импорта), я могу получить все вызванные функции из таблицы импорта. Но если какая-либо dll или exe явно...
742 просмотров
schedule
25.05.2024
получение смещения в файле из RVA
Я пытаюсь прочитать PE-файл. Проблема в том, что данные используют указатели RVA, а мне нужно смещение внутри файла , чтобы получить то, что мне нужно. Как преобразовать RVA в смещение в файле?
8419 просмотров
schedule
24.10.2022
PE-файл добавляет нулевые байты в раздел .text
У меня есть исполняемый файл, в котором мне нужно увеличить размер раздела .text. использовали LORDPE для изменения виртуального и необработанного адреса, но с трудом, куда добавить нулевые байты? Нужно ли перераспределять каждый следующий раздел?...
1253 просмотров
schedule
18.03.2023
