Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:analiza_pe_datoteka_iz_perspektive_forenzike [2023/01/12 19:18]
ab51335 [Sections] 		racfor_wiki:seminari:analiza_pe_datoteka_iz_perspektive_forenzike [2024/12/05 12:24] (trenutno)
Redak 30: Redak 30:
 Podsjetimo se, na kraju MZ headera specificirano je gdje započinje PE header. On je veličine 0x14 bajtova i prepoznaje se po magic bajtovima **0x50 0x45 0x00 0x00 (PE)** (označeni na slici 2.1). Unutar PE headera nalaze se informacije o ciljanoj arhitekturi za koju je izvršna datoteka namijenjena (i386, AMD64, MIPS, PowerPC, …), **broj sekcija PE datoteke**, vremenska oznaka kada je izvršna datoteka kompajlirana, **veličina Optional headera** i karakteristike koje označavaju atribute datoteke. Neki od primjera atributa su je li datoteka izvršiva, radi li se o dll-u, koristi li se little endian ili big endian, itd. Podsjetimo se, na kraju MZ headera specificirano je gdje započinje PE header. On je veličine 0x14 bajtova i prepoznaje se po magic bajtovima **0x50 0x45 0x00 0x00 (PE)** (označeni na slici 2.1). Unutar PE headera nalaze se informacije o ciljanoj arhitekturi za koju je izvršna datoteka namijenjena (i386, AMD64, MIPS, PowerPC, …), **broj sekcija PE datoteke**, vremenska oznaka kada je izvršna datoteka kompajlirana, **veličina Optional headera** i karakteristike koje označavaju atribute datoteke. Neki od primjera atributa su je li datoteka izvršiva, radi li se o dll-u, koristi li se little endian ili big endian, itd.
  
-Sva polja PE header vidljiva su na slici 3.1.+Sva polja PE headera vidljiva su na slici 3.1.
  
 {{:racfor_wiki:seminari:peheader_003651335.png?400|}} {{:racfor_wiki:seminari:peheader_003651335.png?400|}}
Redak 50: Redak 50:
   * broj podatkovnih direktorija (**NumberOfDataDirectories**)   * broj podatkovnih direktorija (**NumberOfDataDirectories**)
  
-Nakon toga u datoteci se nalazi navedeni broj podatkovnih direktorija (Data Directories) koji zapravo predstavljaju tablice koje Windows OS koristi za ispravno učitavanje datoteke u radnu memoriju. Za svaki podatkovni direktorij navedena je relativna virtualna adresa početka podatkovnog direktorija i njegova veličina u bajtovima (**RVA, Size**). Najčešći i najvažniji direktoriji su **export, import i resource directory**. Resource directory sadrži sve resurse koje PE datoteka koristi (npr. slike, ikone, informacije o verziji i autoru datoteke, prijevodi, ...), a export i import directory će se detaljnije opisati u nastavku.+Nakon toga u datoteci se nalazi navedeni broj podatkovnih direktorija (Data Directories) koji zapravo predstavljaju tablice koje Windows OS koristi za ispravno učitavanje datoteke u radnu memoriju. Za svaki podatkovni direktorij navedena je relativna virtualna adresa početka podatkovnog direktorija i njegova veličina u bajtovima (**RVA, Size**). Najčešći i najvažniji direktoriji su **export, import i resource directory**. Resource directory sadrži sve resurse koje PE datoteka koristi (npr. slike, ikone, informacije o verziji i autoru datoteke, prijevodi, itd.), a export i import directory će se detaljnije opisati u nastavku.
  
 Sva polja Optional headera i nekoliko podatkovnih direktorija vidljivi su na slici 4.1. Sva polja Optional headera i nekoliko podatkovnih direktorija vidljivi su na slici 4.1.
Redak 82: Redak 82:
 ===== Export directory ===== ===== Export directory =====
  
-Export directory je najčešće prisutan u .dll datotekama, rijetko kad u .exe datotekama. Ovdje se navode funkcije koje postaju dostupne preko imena i rednog broja drugim izvršnim datotekama kako bi ih one mogle importati. Najvažnije informacije koje se nalaze unutar export direktorija su RVA imena dll-a, broja funkcija koje se exportaju i tri tablice:+Export directory najčešće je prisutan u .dll datotekama, rijetko kad u .exe datotekama. Ovdje se navode funkcije koje su dostupne drugim izvršnim datotekama iz imena i rednog broja da bi ih one mogle importati. Najvažnije informacije koje se nalaze unutar export direktorija su RVA imena dll-a, broja funkcija koje se exportaju i tri tablice:
   * adresna tablica - sadrži relativne virtualne adrese na kojima započinju funkcije    * adresna tablica - sadrži relativne virtualne adrese na kojima započinju funkcije 
   * tablica s pokazivačima na imena - abecedno poredana lista relativnih virtualnih adresa prema imenima funkcija   * tablica s pokazivačima na imena - abecedno poredana lista relativnih virtualnih adresa prema imenima funkcija
-  * tablica rednih brojeva (ordinala) - lista vrijednosti od 2 bajta koje služe kao indeks u adresnu tablicu, redoslijed isti kao i u tablici pokazivača na imena+  * tablica rednih brojeva (ordinala) - lista vrijednosti od 2 bajta koje služe kao indeks u adresnoj tabliciredoslijed je isti kao i u tablici pokazivača na imena
  
 Izgled Export direktorija vidljiv je na slici 6.1. Izgled Export direktorija vidljiv je na slici 6.1.
Redak 96: Redak 96:
 ===== Import directory ===== ===== Import directory =====
  
-Import Directory opisuje dodatne ovisnosti koje trebaju programu za izvođenje u obliku skupine biblioteka i njihovih API-a. Svaki zapis je veličine 0x14 bajtovaopisuje jednu biblioteku, listu njenih funkcija koje je potrebno importati i mjesto u datoteci gdje su zapisane relativne virtualne adrese na koje se trebaju spremiti imena tih funkcija ili ordinala koji služe za pristup funkcijama. Korištenjem importa autor ne mora sam implementirat neke Česte stvari (npr. čitanje i pisanje u datoteku, mrežne funkcije i slično) već preko importa može koristiti te funkcije koje je netko drugi već razvio, a to je najčešće sam Microsoft.+Import Directory opisuje dodatne ovisnosti koje trebaju programu za izvođenje u obliku skupine biblioteka i njihovih API-a. Svaki je zapis veličine 0x14 bajtova opisuje jednu biblioteku, listu njenih funkcija koje je potrebno importati i mjesto u datoteci gdje su zapisane relativne virtualne adrese na koje se trebaju spremiti imena tih funkcija ili ordinala koji služe za pristup funkcijama. Korištenjem importa autor ne mora sam implementirati neke Česte funkcije (npr. čitanje i pisanje u datoteku, mrežne funkcije i slično) već preko importa može koristiti te funkcije koje je netko drugi već razvio, a to je najčešće sam Microsoft.
  
 Izgled Import direktorija vidljiv je na slici 7.1. Izgled Import direktorija vidljiv je na slici 7.1.
Redak 105: Redak 105:
 ===== Zaključak ===== ===== Zaključak =====
  
-Za ispravno izvršavanje datoteke potrebno je pohranjeni izvršni kod učitati u radnu memoriju. Format PE datoteke omogućuje loaderu da na točno određenim mjestima unutar datoteke pronađe potrebne informacije koje mu govore kako da to učini. Bez tih informacija ili sa krivo upisanim informacijama na tim mjestima, Windows operacijski sustav neće znati pokrenuti izvršnu datoteku.+Za ispravno izvršavanje datoteke potrebno je pohranjeni izvršni kod učitati u radnu memoriju. Format PE datoteke omogućuje loaderu da na točno određenim mjestima unutar datoteke pronađe potrebne informacije koje mu govore kako da to učini. Bez tih informacija ili krivo upisanim informacijama na tim mjestima, Windows operacijski sustav neće znati pokrenuti izvršnu datoteku.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/seminari/analiza_pe_datoteka_iz_perspektive_forenzike.1673551117.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0