PE文件

摘要： DLL(dynamic link library)注入作为目前开展隐蔽化渗透攻击的主流技术经过多年发展已形成多种类型,从最初的显式调用系统API创建远程线程逐步过渡到伪造系统DLL以及静态修改PE文件等方式.注入过程更复杂,方式更隐蔽,对检测技术也提出了更大的挑战.主要对常见的10种DLL注入技术原理进行分析.同时对当前业界主流的6种检测技术进行介绍,归纳总结各类技术优缺点,并提出该领域未来的研究方向,为后续开展DLL注入检测技术研究提供参考.

摘要： 基于灰度图的恶意软件检测方法由于不需要反汇编且具有检测准确率高的特点而备受关注。现今已有一些针对该类检测方法的对抗攻击,然而当前大部分对抗攻击方法无法确保所生成的对抗样本仍保留原PE文件的可用性或功能性,或是选择在通过文件头信息便能进行准确检测的PE文件底部添加字节码。通过分析PE文件的区段对齐机制以及文件对齐机制,提出一种可保留PE文件可用性和功能性的字节码攻击方法(BARAF)。该方法通过在由文件对齐机制产生的间隙空间和源于区段对齐机制而具有的扩展空间内批量修改或添加字节码来生成可保留可用性和功能性的对抗样本,来欺骗基于灰度图像的恶意软件检测方法。实验结果表明,BARAF生成的对抗样本最多能使基于灰度图的恶意软件检测方法的准确率下降31.58个百分点,并且难以通过文件头信息对其进行准确检测。

摘要： 当前基于深度学习的恶意软件检测技术由于模型结构及样本预处理方式不够合理等原因,大多存在泛化性较差的问题,即训练好的恶意软件检测模型对不属于训练样本集的恶意软件或新出现的恶意软件的检出效果较差.提出一种改进的基于深度神经网络(Deep Neural Network,DNN)的恶意软件检测方法,使用多个全连接层构建恶意软件检测模型,并引入定向Dropout正则化方法,在模型训练过程中对神经网络中的权重进行剪枝.在Virusshare和lynx-project样本集上的实验结果表明,与同样基于DNN的恶意软件检测模型DeepMalNet相比,改进方法对恶意PE样本集的平均预测概率提高0.048,对被加壳的正常PE样本集的平均预测概率降低0.64.改进后的方法具有更好的泛化能力,对模型训练样本集外的恶意软件的检测效果更好.

摘要： 通过对PE文件冗余空间的分析,针对以新增节的方式进行信息隐藏的方案中存在的问题,提出了一种先合并节再新增节的无容量限制的信息隐藏方案.实验表明,该方案不仅能达到无容量限制的信息隐藏,还具有较好的隐蔽性和鲁棒性.

摘要： PE文件是Win32平台下一种可执行文件格式,是一种较为流行的可执行文件格式.本文阐述了国内外PE文件信息隐藏技术现状,详细分析了PE文件结构,并根据PE文件冗余空间分布特点,提出了一种新的直接在PE文件节冗余空间中嵌入隐藏信息的方案,通过遍历PE节,计算出每个节中存在冗余空间的大小,根据隐藏信息的大小选择合适的节嵌入信息.所提方案在PE文件冗余空间中嵌入信息不会影响PE文件的正常执行,未增加PE文件大小,且可从PE文件中准确提取隐藏信息,具有较好的隐蔽性和安全性.

摘要： 本文通过研究PE文件的格式,分析了PE文件导入表结构,提出一种基于PE文件导入表的信息隐藏方法,通过将信息嵌入于导入表中达到将信息隐藏的目的,隐藏后不影响PE文件的执行且原PE文件的功能没有改变,提高信息的隐蔽性.

摘要： 由于恶意代码的隐藏和生存能力随着计算机系统和网络技术的发展不断提高,对恶意代码的检测技术面临着新的技术挑战,而“DLL注入”是一种常见的使用恶意代码感染正常可执行文件的手段.在深入理解了PE文件结构的基础之上,研究了一种通过手工修改PE文件来实现DLL注入的技术,并提出了一种检测PE文件中被恶意注入DLL的方法.该方法的提出对DLL注入和检测方法的研究具有积极意义.

摘要： 本文基于防止软件被破解与逆向的目的,通过对PE文件导入表、导出表、重定位表的处理实现Shell增加区段的功能.通过将IsDebuggerPresent与Timing Attacks技术的融合实现Shell自身的反调试,同时采用ShellCode的编码方式存储一些敏感信息以及通过“无效操作码”这一后门接口实现Shell自身的反虚拟机功能.最后通过对Notepad的加Shell试验说明Shell具有反调试与反虚拟机功能,证明了对软件加Shell具有防止被破解与逆向的功能.

摘要： Since the vast majority of Trojan Houses have been disposed by means of packed PE files,detection for the packed PE files is studied. The Euclidean distance based method to identify packed PE files was improved. And on this basis, the method based on Minkowski distance is put forward to the classify PE files,and detect whether PE files are packed. The ex⁃perimental results show that,in comparison with the popular PEid tool,the method has higher detection rate,and its false alarm rate and false negative rate are also within the acceptable range.%针对绝大多数的木马都经过了PE文件加壳处理的情况，对PE文件的加壳检测进行了研究。对基于欧几里得距离的加壳PE文件识别方法进行改进，在此基础上提出了基于明可夫斯基距离对PE文件进行分类，检测PE文件是否加壳。实验表明，相对于流行的PEid工具，该法具有较高的检测率、误报率和漏报率也在可接受的范围内。

摘要： 在分析PE文件导入表结构的基础上,利用Windows加载器的工作原理和PE文件导入表存储位置不确定性的特点,提出了一种迁移PE文件导入表并将信息隐藏在PE文件原导入表位置的信息隐藏算法.理论分析与实验结果表明,该算法较好地弥补了传统PE文件信息隐藏算法中隐藏信息过于集中、交换PE文件导入表数据结构元素将破坏隐藏信息的不足,提高了隐蔽性和抗攻击性.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： PE文件本身就含有可以用来检测或者分类恶意软件的信息,但是尚不清楚有多少信息可以区分不同家族,以及是否不同的家族表现出不同的一致性.通常在PE文件特征提取时,都会采用通过计算原始特征集相应的信息增益来选择有区分度的n-grams特征子集,再结合其他特征来检测或者分类恶意软件信息,但是这种方法忽略了n-grams的时序特性.本文针对该问题,提出了将PE文件的时序特征与n-grams特征相结合的方法.实验表明将这两种方法相结合,比单纯使用n-grams在准确度上有极大的提升.该方法是n-grams的一种加强,可以结合其他特征来提升分类的准确度.

摘要： 文章分析了现有病毒特征值检测技术存在的不足,提出了一种检测变形病毒及未知病毒的新方法--以PE文件调用的Win API函数序列为特征,结合海明网络对可疑文件的特征向量进行模式匹配,从而实现对未知病毒的检测。

摘要： 文章分析了现有病毒特征值检测技术存在的不足,提出了一种检测变形病毒及未知病毒的新方法--以PE文件调用的Win API函数序列为特征,结合海明网络对可疑文件的特征向量进行模式匹配,从而实现对未知病毒的检测。

摘要： 文章分析了现有病毒特征值检测技术存在的不足,提出了一种检测变形病毒及未知病毒的新方法--以PE文件调用的Win API函数序列为特征,结合海明网络对可疑文件的特征向量进行模式匹配,从而实现对未知病毒的检测。

摘要： 提出了一种新的针对PE文件的病毒免疫方法及其解决方案.利用此方法可以使被保护的PE文件具有对病毒的自动免疫功能,文件在执行时可以自动完成自身完整性的校验,如果保护的PE文件被病毒破坏,利用此方法还可以实现文件的自动恢复,使得被保护的文件对一些具有破坏性的病毒,特别是一些加密变形病毒或是未知病毒都具有很好的免疫功能.

摘要： 本发明实施例公开一种识别PE文件是否是资源文件的方法及装置，涉及计算机安全技术领域，能够提高系统中资源文件的识别成功率。所述识别PE文件是否是资源文件的方法，包括：判断一PE文件中是否含有代码；若PE文件中不含有代码，则检查PE文件是否含有正常的资源信息；若PE文件含有正常的资源信息，则确定PE文件是资源文件。所述识别PE文件是否是资源文件的装置，包括：判断单元，用于判断一PE文件中是否含有代码；第一检查单元，用于若PE文件中不含有代码，则检查PE文件是否含有正常的资源信息；确定单元，用于若PE文件含有正常的资源信息，则确定PE文件是资源文件。本发明适用于需要识别出系统中资源文件的场合。

摘要： 本申请公开了一种恶意PE文件检测方法、装置、设备及介质，涉及人工智能领域，该方法包括：按照预设文件拆解方法对目标PE文件进行拆解，以获取文件头信息、文件可选头信息、文件节头信息以及文件节头信息对应的节信息；分别利用训练后的稀疏自编码神经网络模型对各头信息进行向量化，利用训练后的文本分类模型对节信息进行向量化，并将向量化后的各向量进行融合，将融合后向量输入神经网络模型，以获取神经网络模型输出的检测结果；神经网络模型为利用预设知识迁移方法对各训练后的稀疏自编码神经网络模型和文本分类模型进行模型迁移得到的。本发明能够通过使用针对性向量化处理的方法实现PE文件的恶意监测，检测流程精短，数据传递完整。

摘要： 本发明提出了一种PE文件的地址定位系统，该系统包括系统定位模块和自我定位模块；所述系统定位模块用于展示在所述PE文件正常载入后，由操作系统完成变量和函数的地址定位的过程，其包括PE文件基本信息模块、重定位表模块、导入表模块和导出表模块；自我定位模块用于实现用户自行完成定位，包括变量定位的模块和函数地址定位模块；所述变量定位模块包括基于CALL指令的定位模块；所述函数地址定位模块包括基于返回地址的定位模块、基于SEH的定位模块和基于PEB的定位模块。采用本发明的系统，可以高效、简单、清晰地实现PE文件的定位。

摘要： 本发明实施例公开一种识别PE文件是否是资源文件的方法及装置，涉及计算机安全技术领域，能够提高系统中资源文件的识别成功率。所述识别PE文件是否是资源文件的方法，包括：判断一PE文件中是否含有代码；若PE文件中不含有代码，则检查PE文件是否含有正常的资源信息；若PE文件含有正常的资源信息，则确定PE文件是资源文件。所述识别PE文件是否是资源文件的装置，包括：判断单元，用于判断一PE文件中是否含有代码；第一检查单元，用于若PE文件中不含有代码，则检查PE文件是否含有正常的资源信息；确定单元，用于若PE文件含有正常的资源信息，则确定PE文件是资源文件。本发明适用于需要识别出系统中资源文件的场合。

摘要： 本发明涉及一种基于导出函数的PE文件相似性比对方法，属于软件二进制代码溯源分析技术领域。该比对方法通过PE文件解析，提取并比对PE文件“导出函数”，完成了PE文件相似性比对和相似度计算。该方法主要是为Windows操作系统下可执行程序、动态链接库、ActiveX控件等PE格式二进制文件溯源提供技术手段，具有良好的鲁棒性、较高的准确性和可用性。

摘要： 本发明涉及一种基于资源的PE文件相似性比对方法，属于软件二进制代码溯源分析技术领域。该比对方法通过PE文件解析，提取并比对PE文件中位图、图标、字符串等资源，完成了PE文件相似性比对和相似度计算。该方法主要是为Windows操作系统下可执行程序、动态链接库、ActiveX控件等PE格式二进制文件溯源提供技术手段，具有良好的鲁棒性、较高的准确性和可用性。

摘要： 本申请公开了一种恶意PE文件检测方法、装置、设备及介质，涉及人工智能领域，该方法包括：按照预设文件拆解方法对目标PE文件进行拆解，以获取文件头信息、文件可选头信息、文件节头信息以及文件节头信息对应的节信息；分别利用训练后的稀疏自编码神经网络模型对各头信息进行向量化，利用训练后的文本分类模型对节信息进行向量化，并将向量化后的各向量进行融合，将融合后向量输入神经网络模型，以获取神经网络模型输出的检测结果；神经网络模型为利用预设知识迁移方法对各训练后的稀疏自编码神经网络模型和文本分类模型进行模型迁移得到的。本发明能够通过使用针对性向量化处理的方法实现PE文件的恶意监测，检测流程精短，数据传递完整。

摘要： 本发明公开了基于PE文件改造的内存加载方法，包括压缩目标PE文件；开发PE加载器；将压缩后的目标PE文件和PE加载器拼接后加密，并将加密后的数据编码成图片作为资源插入宿主PE文件；开发代码加载器，用于提取位图资源、解密并执行PE加载器，并将PE加载器插入宿主PE文件的代码段；对宿主PE文件OEP附近的控制流进行劫持得到执行权，释放最终的宿主PE文件并运行。本发明对宿主PE文件进行改造，将目标PE文件压缩，并与PE加载器拼接、加密后编码成图片资源插入宿主PE文件，后由代码加载器对资源进行提取、解密和执行，并通过入口点模糊、反沙箱检测等技术提升绕过检测机制的能力。

摘要： 本发明公开了一种基于PE文件结构实现主机远程控制方法及装置，所述方法包括：获取Windows操作系统的PE文件，并根据预设条件确定目标PE文件；查找所述目标PE文件的空白区域，并在查找到的空白区域注入shellcode；将所述shellcode的起始地址作为所述目标PE文件的入口点；在执行完所述shellcode后，跳转至所述PE文件的原入口点；本发明的优点在于：提供一种隐蔽的远程控制主机的方式，避免客户端被查杀，减少了远控失败而丢失主机权限的情况。

摘要： 本发明涉及pe文件特征码生成技术领域，尤其涉及一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质；本发明所公开的基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质，特征码生成方法，包括以下步骤：提取pe格式文件的rich头部信息；根据rich头部信息，计算哈希值，生成基于rich头部信息特征码；rich头部信息与编译环境、编译器密切相关，在恶意软件生命周期中这些环境很少变化，提高标识该恶意软件准确性；即使pe格式恶意软件采用加壳等软件进行混淆和规避，导致常规特征码无法识别恶意软件，但是由于加壳软件并不改变rich头部信息，因此仍然可以基于rich头部信息标识恶意软件。