PE/ELF 可执行文件格式- 恶意软件样本执行
PE/ELF executable file format- Malware sample Execution
我已经在 Linux 和 Windows VM 中下载了一些恶意软件样本。当我使用 file * 命令检查 Linux 中示例的文件类型时,该类型显示为 PE32 可执行文件。但是,当我在 windows VM 中检查相同内容时,文件类型被称为“文件”。
这是否意味着这些示例不可执行?
我是否必须将扩展名更改为 .exe 才能使其成为可执行文件?
我建议阅读 PE format,因为不仅 .exe 文件扩展名是 PE32 可执行文件(例如 .dll)。
如果我是你,我也会开始学习如何构建安全的实验室环境,以及如何在 运行 之前使用一些静态分析工具(确保你的 VM 网络设置安全) .
针对您的问题:
linux 文件命令应该能准确识别你正在查看的文件,不确定你在 Win 中做了什么检查。
是的,更改文件扩展名会有所帮助,但也不能保证恶意软件会像您预期的那样运行。例如,DLL 需要加载 运行dll32,可以有 sandbox/VM 检查,不会执行的打包等
您可以在十六进制编辑器中检查您正在处理的文件并比较 magic bytes。
我已经在 Linux 和 Windows VM 中下载了一些恶意软件样本。当我使用 file * 命令检查 Linux 中示例的文件类型时,该类型显示为 PE32 可执行文件。但是,当我在 windows VM 中检查相同内容时,文件类型被称为“文件”。
这是否意味着这些示例不可执行?
我是否必须将扩展名更改为 .exe 才能使其成为可执行文件?
我建议阅读 PE format,因为不仅 .exe 文件扩展名是 PE32 可执行文件(例如 .dll)。
如果我是你,我也会开始学习如何构建安全的实验室环境,以及如何在 运行 之前使用一些静态分析工具(确保你的 VM 网络设置安全) .
针对您的问题: linux 文件命令应该能准确识别你正在查看的文件,不确定你在 Win 中做了什么检查。
是的,更改文件扩展名会有所帮助,但也不能保证恶意软件会像您预期的那样运行。例如,DLL 需要加载 运行dll32,可以有 sandbox/VM 检查,不会执行的打包等
您可以在十六进制编辑器中检查您正在处理的文件并比较 magic bytes。