【技术实现步骤摘要】
基于PE文件改造的内存加载方法
本专利技术涉及网络安全
,具体的说,是一种基于PE文件改造的内存加载方法。
技术介绍
随着计算机、互联网技术的飞速发展,信息在当今社会成为一种重要的资源。而即使是最先进的系统也可能受到恶意代码的攻击,恶意软件在目标系统中持续的时间越长,它收集的信息就越多,对目标造成的危害和损失就越大。内存加载就是恶意软件实现隐蔽性的关键技术之一。与传统的恶意软件加载技术不同,使用内存加载的恶意软件不必驻留在硬盘上,而是利用一些合法的、受信任的进程提供的条件或系统组件来运行自身以躲避检测。它们的隐蔽特性是对恶意代码分析人员的巨大挑战。由于内存具有易失性,计算机重启后恶意代码执行痕迹就不复存在,导致对其恶意行为进行取证比较困难。执行恶意功能的代码只存在于内存中,其呈现出的隐蔽性强、潜伏周期久、危害性大等特点,已对信息安全构成巨大的威胁。现有检测机制能发现大部分已知恶意代码技术,但不能应对新的、未知的威胁。因此,研发一种新的可以绕过现有检测机制的内存加载方法,对于增强现有安全机制的恶意代码检测能力和保护重要信...
【技术保护点】
1.一种基于PE文件改造的内存加载方法,其特征在于,包括:/n步骤S1:压缩目标PE文件;/n步骤S2:开发PE加载器,PE加载器用于解压目标PE文件、PE文件内存展开、基址重定位和IAT修复;/n步骤S3:将压缩后的目标PE文件和PE加载器拼接后加密,并将加密后的数据编码成图片;/n步骤S4:将图片作为资源插入宿主PE文件;/n步骤S5:开发代码加载器,用于提取位图资源、解密并执行PE加载器,并将PE加载器插入宿主PE文件的代码段;/n步骤S6:对宿主PE文件OEP附近的控制流进行劫持得到执行权,释放最终的宿主PE文件并运行。/n
【技术特征摘要】
1.一种基于PE文件改造的内存加载方法,其特征在于,包括:
步骤S1:压缩目标PE文件;
步骤S2:开发PE加载器,PE加载器用于解压目标PE文件、PE文件内存展开、基址重定位和IAT修复;
步骤S3:将压缩后的目标PE文件和PE加载器拼接后加密,并将加密后的数据编码成图片;
步骤S4:将图片作为资源插入宿主PE文件;
步骤S5:开发代码加载器,用于提取位图资源、解密并执行PE加载器,并将PE加载器插入宿主PE文件的代码段;
步骤S6:对宿主PE文件OEP附近的控制流进...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。