PE.Data Directories

Заполнение мусором массива Data Directories

Data Directories – важная часть PE-заголовка. Это своеобразный каталог, описывающий какие секции представлены в этом файле. Смещение начала массива в PE-заголовке – 0х78. Массив позиционный. Т.е. каждый элемент в массиве закреплен за конкретным видом секции. Количество элементов – 16. Элемент состоит из двух 4-хбайтовых полей: относительный виртуальный адрес (RVA) таблицы секции и размер этой таблицы. Первые три элемента этого массива:

image01.jpg

Если секция не используется, то в качестве меры по антиотладке, можно указать в полях (RVA адрес и размер) элемента любой мусор.

image02.jpg

Защита от обнаружения – обнулить мусор, используя любой инструмент, который позволяет править PE-заголовок. Например, инструменты LordPE Deluxe, PETools.

Обратно к содержанию

Пока не указано иное, содержимое этой страницы распространяется по лицензии Creative Commons Attribution-ShareAlike 3.0 License