Viewing the Resource Section with Resource Hacker
Bây giờ chúng ta đã hoàn tất việc tìm hiểu nội dung trong Header của tập tin PE, chúng ta có thể xem xét một số thành phần có trong các Sections. Phần duy nhất của Section mà chúng ta có thể kiểm tra mà không cần kiến thức bổ sung ở những chương sau là tài nguyên của Section (resource Section). Bạn có thể sử dụng công cụ miễn phí Resource Hacker (http://www.angusj.com/) để xem nội dung của Section .rsrc. Khi bạn chọn chuột qua các mục trong Resource Hacker, bạn sẽ thấy các Strings, Icon, và Menus. Các menus hiển thị giống hệt như những gì mà chương trình sử dụng. Hình 1-9 cho thấy công cụ Resource Hacker liệt kê các thông tin trong chương trình Windows Calculator, calc.exe.
Bảng điều khiển bên trái cho thấy các tài nguyên (resources) có trong tập tin thực thi này. Mỗi mục chính trong cửa sổ bên trái tại mục (1) lưu trữ các loại khác nhau của resources. Các thông tin Sections cho việc phân tích mã độc bao gồm:
- Section Icon liệt kê các hình ảnh hiển thị khi tiến trình thực thi.
- Section Menu lưu trữ tất cả các menus xuất hiện trong các cửa sổ khác nhau, như là menu File, Edit, và View. Section này chứa các tên của tất cả menus. Tên của các menu này cũng cho chúng ta sự gợi ý về chức năng của chúng.
- Mục Dialog chứa các menu hộp thoại của chương trình. Hộp thoại Dialog hiển thị ở mục 2 cho thấy những gì mà người dùng sẽ nhìn thấy khi chạy tập tin calc.exe. Nếu chúng ta không biết gì khác về tập tin calc.exe, chúng ta có thể xác định nó là một chương trình máy tính (calculator) đơn giản bằng cách nhìn vào hộp thoại hiển thị của chúng.
- Mục String Table lưu trữ các chuỗi string.
- Mục Version Info chứa số phiên bản, thường là tên công ty và bản quyền tác giả.
Phần Section .rsrc trong hình 1-9 là điển hình của các ứng dụng Windows và có thể chứa những gì mà một lập trình viên đòi hỏi.
Using Other
Có nhiều công cụ cho phép ta đọc thông tin PE Header. Hai trong số đó là PEBrowse Professional và PE Explorer. PEBrowse Professional (http://www.smidgeonsoft.prohosting.com/pebrowsepro-file-viewer.html) có chức năng tương tự như PEview. Nó cho phép chúng ta nhìn vào các byte từ mỗi Section và cho thấy những dữ liệu đã được phân tách. PEBrowse Professional làm tốt công việc trình bày thông tin từ nguồn tài nguyên của Section (.rsrc). PE Explorer (http://www.heaventools.com/) có một giao diện phong phú cho phép bạn điều hướng thông tin qua các phần khác nhau của tập tin PE. Bạn có thể chỉnh sửa một số phần của tập tin PE, tuy nhiên nó không có miễn phí.
PE Header Summary
Các Header của tập tin PE chứa các thông tin hữu ích cho việc phân tích mã độc, và chúng ta sẽ tiếp tục trong những bài sau. Bảng Table 1-7 sẽ tóm lại các thông tin quan trọng mà có thể thu được từ Header của một tập tin PE.
| Các trường | Thông tin |
| Imports | Là các hàm chức năng từ các thư viện khác nhau được sử dụng bởi các phần mềm độc hại. |
| Exports | Là các hàm chức năng trong mã độc mà được gọi bởi các chương trình hoặc các thư viện khác nhau. |
| Time Date Stamp | Là thời điểm khi chương trình được biên dịch. |
| Sections | Là tên của các mục trong tập tin và kích thước của chúng trên ổ đĩa cứng và bộ nhớ. |
| Subsystem | Cho biết chương trình là giao diện dòng lệnh hay giao diện đồ họa ứng dụng. |
| Resources | Là các Strings, icons, menus, và các thông tin khác chứa trong tập tin. |
Bigguy
(Tham khảo: Practical Malware Analysis)
