Русский / Russian English / Английский

Сейчас на форуме: rmn (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Вопросы новичков —› Несколько PE заголовков в одном файле.
. 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 01:00 New!
Цитата · Личное сообщение · #1

Всем привет. Писал тут небольшой сканер файлов. И с удивлением для себя обнаружил, что многие exe как матрешки нашпигованы PE заголовками. То есть несколько файлов объединены последовательно друг за другом.
Ладно таким страдают всякие джойнеры, но нет вполне себе уважаемые программы. Есть идеи с какой практической целью такое делается???

Ранг: 50.1 (постоянный)
Статус: Участник

Создано: 12 января 2020 03:08 New!
Цитата · Личное сообщение · #2

К примеру, DLL-ки можно сложить в ресурсы. Практическая цель - вся программа в одном файле.

| Сообщение посчитали полезным: TryAga1n


Ранг: 152.5 (ветеран)
Статус: Участник

Создано: 12 января 2020 03:19 New!
Цитата · Личное сообщение · #3

Обычное дело, те же дрова часто так цепляют.


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 12 января 2020 03:21 New!
Цитата · Личное сообщение · #4

Смотря что и где там лежит. Например тот же .fon формат шрифтов это NE файл, старший брат PE, в нем есть сигнатура 'MZ' и досовский заголовок, и при этом кода можно сказать не содержит. Может и dll быть, загружаемая альтернативным виндовому лодырем, конечно феерический кретинизм, но и такое может быть.

Я видал сжатые в зип и зашифрованные дллки, которые вываливаются на диск функцией другой длл, аргумент которой - номер этой длл в списке. И тоже контору сложно заподозрить, что ее на помойке нашли. Большинство пользователей этого не видит, поэтому нормально.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 03:39 New!
Цитата · Личное сообщение · #5

Не заголовками, а сигнатурами. Называй правильно. В файле не может быть два хидера просто физически.

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 11:14 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #6

difexacaw пишет:
Не заголовками, а сигнатурами.
Сигнатура это 0x00004550, а заголовок, это Собранное вместе, дос,стаб, PE хидеры, и таблица секций? Или я ошибаюсь?

Добавлено спустя 14 минут
А можно как то по коду определить ехе это или dll ?


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 12 января 2020 11:29 New!
Цитата · Личное сообщение · #7

zombi-vadim сигнатура это слепок отпечаток в АВ это цепочка паттернов для индификации, в файле в hex это начало файла 42 4D 36 40 (bmp) 4D 5A 60 (MZ`) 50 45 (PE)

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 11:31 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #8

Ходя да. Вот вытащил одну из файла, там стоит галочка в характеристиках file_dll. Вы правы.
Экономия на инсталляторе, видимо.

Добавлено спустя 3 минуты
SDKНу так и я о том же, 0x00004550 - такую сигнатуру в большом файле можно с сотню найти, а вот целиком весь хидер, получается уже заголовок?


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 12 января 2020 12:04 New!
Цитата · Личное сообщение · #9

zombi-vadim пишет:
А можно как то по коду определить ехе это или dll ?

4D 5A 90 (MZђ)dll 4D 5A 60 (MZ`)exe только так ну или у каждой длл искать компилятор сигнатуры пейда можно использовать


Ранг: 544.6 (!)
Статус: Участник
оптимист

Создано: 12 января 2020 12:24 · Поправил: ClockMan New!
Цитата · Личное сообщение · #10

zombi-vadim

{ Атач доступен только для участников форума } - PE Format _ Microsoft Docs.zip


Ранг: 564.4 (!)
Статус: Участник
_Вечный_Студент_

Создано: 12 января 2020 12:51 New!
Цитата · Личное сообщение · #11

zombi-vadim пишет:
Сигнатура это 0x00004550, а заголовок, это Собранное вместе, дос,стаб, PE хидеры, и таблица секций? Или я ошибаюсь?


Возьми серию туториалов ICZELION'a по PE FILE --> FORMAT <--.
Там все разжевано до тонкости.

Ранг: 46.5 (посетитель)
Статус: Участник

Создано: 12 января 2020 13:39 New!
Цитата · Личное сообщение · #12

Странно, что автора это удивило. Многократно видел такие вложения. Даже парсер писал, по "вычленению" вложенных файлов.
Особенно это характерно для программ написанных на PureBasic. Видимо там в IDE такая "фича" реализована, что сопутствующие файлы (при том не только dll, но и exe) собираются в один.
Еще встречал в .Net Core 3.0 такую "упаковку", где сопутсвующие dll просто "склеены" одна за другой.

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 14:01 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #13

AdlerМеня удивил практический смысл. Для чего пихать все в один файл. Существуют инсталляторы, можно положить все в папку с программой. Я полагал как оказывается наивно что наличие повторного заголовка признак вирусного джойнера.

Добавлено спустя 3 минуты
plutosSignature - это PE-сигнатуpа, "PE" следуемое за двумя нулями. Вот там так и написано.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 14:36 New!
Цитата · Личное сообщение · #14

Есть один способ, это очень грязный трюк с памятью --> Link <--

- в этом случае действительно может быть два заголовка, какой из них существует определяется средой, файл это или отображение.

Ранг: 46.5 (посетитель)
Статус: Участник

Создано: 12 января 2020 14:40 New!
Цитата · Личное сообщение · #15

zombi-vadim, практический смысл, когда это однофайловая портативная программа, которую не надо никуда устанавливать. Запустил, распаковала, еcли надо, нужные файлы в TEMP, сделало с ним что надо и удалила.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 14:41 · Поправил: difexacaw New!
Цитата · Личное сообщение · #16

zombi-vadim

> А можно как то по коду определить ехе это или dll ?

Нет. Разница между ними в одном бите, это маркер длл в хидере. Но обычно можно отличить по отсутствию релоков, длл всегда их имеет. Самый надёжный способ это посмотреть прототип EP. Он отличается для exe/dll, например числом параметров, из dll-ep всегда должен быть возврат. Для экзе возврат это завершение процесса.

Хранить исполняемые файлы не криптованными в ресурсах просто глупо, авер посчитает что это загрузчик из памяти и выдаст детект по эвристике.


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 12 января 2020 16:28 New!
Цитата · Личное сообщение · #17

ClockManplutos ему нужна готовая утилита которая будет находить в любом файле или склееном с exe или dll и находить в нём длл или exe и наверно их сохранять для изучения.

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 17:06 New!
Цитата · Личное сообщение · #18

SDKНе нужна, я ее сам случайно написал, немного только доработать.

Ранг: 148.0 (ветеран)
Статус: Участник

Создано: 12 января 2020 19:06 New!
Цитата · Личное сообщение · #19

SDK пишет:
сигнатура это слепок отпечаток в АВ это цепочка паттернов для индификации

Для индификации бинарников нужно юзать визоры. Сигнатурный поиск - это прошлый век

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 12 января 2020 19:40 · Поправил: sim_19 New!
Цитата · Личное сообщение · #20

rmn пишет:
Для индификации бинарников нужно юзать визоры.


rmn, старушки на лавочках болтают, что такого понятия и термина как визор - в природе не существует. Его придумал один "гений" из Белорусии и через форум exelab внедрил на благодатную "почву" России. И, кстати, про этого "гения" болтают, что и его в природе не существует. В общем, несуществующие "гении" - придумывают несуществующие термины.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 19:49 New!
Цитата · Личное сообщение · #21

sim_19

Как тебе удалось получить отрицательный рейтинг -14 лучше расскажи, я много раз это спрашивал но так и не понял.

rmn

Я бы прогнал статически EP конструктором и определил прототип по retN или по доступу к параметрам прототипа. Но тс такое сделать не сможет.

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 12 января 2020 20:00 New!
Цитата · Личное сообщение · #22

difexacaw пишет:
Как тебе удалось получить отрицательный рейтинг -14 лучше расскажи, я много раз это спрашивал но так и не понял.


С удовольствием, но только после того как вы объясните, что вы подразумеваете под понятием визор? И приведете пару ссылок на источники которым можно доверять. Да хоть на ту же википедию.


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 20:35 New!
Цитата · Личное сообщение · #23

sim_19

Люди с таким то минусом не имеют права задавать вопросы.

| Сообщение посчитали полезным: SDK



Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 12 января 2020 20:48 · Поправил: SDK New!
Цитата · Личное сообщение · #24

rmn пишет:
Для индификации бинарников нужно юзать визоры.

я им пользоваться не умею,для этого есть специально обученные люди.

zombi-vadim пишет:
Не нужна, я ее сам случайно написал, немного только доработать.

ну не знаю мне бы такая не помешала как и разработчикам АВ вот прикрутил вам файл (картинка в png для теста вашего инструмента своеобразный анпакми.
в нём что только нет 1.там есть полнофункциональная дема под вин32. 2.там есть музыкальный файл. 3.там есть dll ну и 4. для любителей заговоров и пораноидальных там есть вирус очень страшный но не опасный ring0.

От модератора: малварь удалена
как отковыряете все 4 расскажите нам что как и куда (столько всего и 24.2кб красота )


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 21:03 New!
Цитата · Личное сообщение · #25

Даёшь минус сто, что же мелочиться.

Ранг: -18.1 (нарушитель)
Статус: Участник

Создано: 12 января 2020 21:19 New!
Цитата · Личное сообщение · #26

difexacaw пишет:
sim_19
Люди с таким то минусом не имеют права задавать вопросы.


Что-то когда я что-нибудь у вас спрашивал на уровне 2*2=4, вас не сильно заботил мой минусовой рейтинг. А тут вдруг он вас так сильно озаботил. С чего бы это? Может потому, что я прав и вам, как говорят в народе, - "нечем крыть"? Так что же все-таки вы вклдываете в понятие визор, а difexacaw?


Ранг: 325.1 (мудрец)
Статус: Участник

Создано: 12 января 2020 21:38 New!
Цитата · Личное сообщение · #27

sim_19

Уже -15 давай признавайся как ты это делаешь.

Ранг: 14.7 (новичок)
Статус: Участник

Создано: 12 января 2020 21:50 · Поправил: zombi-vadim New!
Цитата · Личное сообщение · #28

SDKНичего в вашей картинке нет кроме мусора.


Ранг: 54.5 (постоянный)
Статус: Участник

Создано: 12 января 2020 22:06 · Поправил: SDK New!
Цитата · Личное сообщение · #29

zombi-vadim пишет:
SDKНичего в вашей картинке нет кроме мусора.

Молодой Человек вы думаете я вас обманываю?,там есть музыка там есть демо.exe и (длл) и даже вирус как я писал можете на вирус тотал скинуть покажет .
хрен с ней с длл она не нужная ,но музыку и ехе выташить легко думайте давайте и не спорьте.

Ранг: 39.3 (посетитель)
Статус: Участник

Создано: 12 января 2020 22:17 New!
Цитата · Личное сообщение · #30

difexacaw
Да это психбольной sty/dma, у него каждый акк в минуса уходит. Не обращайте внимания на идиота.

Я не знаю за инсталляторы, но в малваре самопальные упаковщики урезают РЕ хидеры, затирая какие-то поля (скажем те же MZ PE , dos stub), чтобы авер так легко не нашел.
. 1 . 2 . 3 . >>
 eXeL@B —› Вопросы новичков —› Несколько PE заголовков в одном файле.

Видеокурс ВЗЛОМ