Аналіз способів використання заголовків РЕ-формату
Вантажиться...
Дата
Науковий ступінь
Рівень дисертації
Шифр та назва спеціальності
Рада захисту
Установа захисту
Науковий керівник/консультант
Члени комітету
Назва журналу
Номер ISSN
Назва тому
Видавець
Громадська наукова організація "Всеукраїнська асамблея докторів наук з державного управління"
Анотація
В роботі наведено результати досліджень можливостей використання втручань в заголовки РЕ-формату в операційній системі Windows 11. Метою роботи є визначення програмних механізмів ін’єкції в MS-заголовок, в область MS-stub, в РЕ-заголовок. У Windows 11 свій код із DOS-заголовка не виконується, так як DOS-stub запускається тільки в реальному DOS або емуляторі (DOSBox). Однак є можливість зберігати і використовувати ці комірки для змінених даних. У роботі були внесені зміни після MZ-сигнатури до комірки з адресою 3Ch, а потім до комірки з РЕ-сигнатурою. Результати дослідження показують, що можна вносити зміни в DOS-заголовок і в область DOS-stub. Тільки не допускається зміна 2 комірок: комірки з MZ-сигнатурою та комірки з адресою 3Ch, в якій зберігається адреса знаходження РЕ-сигнатури. Крім того, через політику безпеки змінений РЕ-заголовок ехе-файла у Windows 11 без додаткових дій не запускаються. Захист PE-файлів досягається за рахунок комплексних заходів, таких як шифрування виконуваного коду для запобігання антивірусному скануванню та аналізу, а також використання контрольної суми для підтвердження цілісності та справжності файлу. Практичне значення дослідження впровадження в РЕ-заголовок для кібербезпеки полягає в наступному: – впровадження коду або даних в PE-заголовок - це один із прийомів, що використовуються при аналізі шкідливого ПЗ. – знання цих методів необхідне для фахівців з реверс-інжинірингу, антивірусного аналізу та у судовій експертизі (форензиці). – дозволяє виявляти спроби прихованого впровадження, поліморфізму чи стеганографії у виконуваних файлах. Крім того, пакувальники та захисники програм (наприклад, Themida, UPX, VMProtect) модифікують заголовки PE-файлів, додаючи метадані або сигнатури.
The paper presents the results of research into the possibilities of using PE headers in the Windows 11 operating system. The purpose of the paper is to determine the software injection mechanisms in the MS header, in the MS stub area, and in the PE header. In Windows 11, the code from the DOS header is not executed, since the DOS stub is launched only in real DOS or an emulator (DOSBox). However, it is possible to save and use these cells for modified data. In the work, changes were made after the MZ signature to the cell with the address 3Ch, and then to the cell with the PE signature. The results of the study show that it is possible to make changes to the DOS header and to the DOS stub area. Only 2 cells are not allowed to be changed: the cell with the MZ signature and the cell with the address 3Ch, in which the PE signature address is stored. In addition, due to the security policy, the exe file with the modified PE header in Windows 11 is not launched without additional actions. PE file protection is achieved through comprehensive measures, such as encrypting the executable code to prevent antivirus scanning and analysis, and using a checksum to confirm the integrity and authenticity of the file. The practical significance of the study of PE header injection for cybersecurity is as follows: – injection of code or data into the PE header is one of the techniques used in malware analysis. – knowledge of these methods is necessary for specialists in reverse engineering, antivirus analysis and forensics. – allows you to detect attempts at hidden injection, polymorphism or steganography in executable files. In addition, packagers and program protectors (for example, Themida, UPX, VMProtect) modify PE file headers by adding metadata or signatures.
Опис
Ключові слова
РЕ-формат, РЕ-заголовок, DOS-заголовок, область DOS-stub, RE-format, RE-header, DOS-header, DOS-stub area
Бібліографічний опис
Рисований О. М. Аналіз способів використання заголовків РЕ-формату / Рисований Олександр Миколайович // Наука і техніка сьогодні (Серія "Педагогіка", Серія "Право", Серія "Економіка", Серія "Фізико-математичні науки", Серія "Техніка") = Science and technology today ("Pedagogy" series, "Law" series, "Economics" series, "Physical and mathematical sciences" series, "Technics" series). – 2025. – Вип. 11 (52). – С. 2646-2657.