Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: fary en 18 Enero 2016, 01:19 am


Título: Formato PE.
Publicado por: fary en 18 Enero 2016, 01:19 am
¿Qué es el formato PE?

Según wikipedia:

Citar
El formato Portable Executable (PE) es un formato de archivo para archivos ejecutables, de código objeto, bibliotecas de enlace dinámico (DLL), archivos de fuentes FON, y otros usados en versiones de 32 bit y 64 bit del sistema operativo Microsoft Windows.

En palabras sencillas, es la estructura que tienen los archivos ejecutables.


¿Para qué nos sirve en malware?

Pues teniendo conocimientos del PE podemos desde infectar un ejecutable, hasta cargarlo en memoria sin que toque el disco (RunPE), cargar funciones sin importarlas, en fin, una seria de ventajas que sin su conocimiento no sería posible hacer o sería posible pero de mala manera.


Manuales

-Manual Formato PE - The Swash (https://foro.elhacker.net/windows/documentoformato_pe_bajo_windows_espanol-t332157.0.html)

-Importando funciones manualmente.   -> https://www.mediafire.com/file/hpbtm61ms4o9iet/1330-IMPORTANDO_FUNCIONES_MANUALMENTE_-_The_Swash.rar/file

-Relocaciones en ejecutables.   -> https://www.mediafire.com/file/l2jp79c06jgfs58/1331-RELOCACIONES_EN_EJECUTABLES_por_The_Swash.rar/file

Talleres

-Taller Secciones formato PE - The Swash (http://foro.elhacker.net/buscador-t362515.0.html)

-Taller formato PE - Ferchu (http://foro.elhacker.net/analisis_y_diseno_de_malware/abril_negro_2008_taller_de_formato_pe_by_ferchu-t208278.0.html)

-Cifrando Malware a mano - Zero. (http://foro.elhacker.net/analisis_y_diseno_de_malware/taller_asi_funcionan_los_crypters_cifrando_malware_a_mano-t262806.0.html)

-LoadLibrary Manual - Yuki (https://foro.elhacker.net/programacion_general/guia_cargar_dll_de_memoria-t473242.0.html;msg2135881#msg2135881)

Códigos

-Ret Exe Corruption - Karcrack (https://foro.elhacker.net/analisis_y_diseno_de_malware/ret_exe_corruption_corrompe_cualquier_ejecutable-t251137.0.html)

-Runpe en ASM - fary. (http://foro.elhacker.net/analisis_y_diseno_de_malware/asm_runpe-t446957.0.html)

-Base Relocation - Zero. (https://foro.elhacker.net/analisis_y_diseno_de_malware/ejecucion_de_archivos_desde_memoria_base_relocation-t264564.20.html)

-Infección por TLS - The Swash. (http://foro.elhacker.net/buscador-t363924.0.html)


Más documentación:

https://elhacker.info/manuales/PE/

Si se me escapa algo más por ahí, avisar!


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines