下面的引用来自这里第 12 页
Stuxnet 的植入程序组件是一个包装程序,其中包含上述所有组件,存储在部分名称 “存根”。此存根部分是 Stuxnet 工作不可或缺的部分。当威胁执行时,包装器会从存根部分提取 .dll 文件,将其作为模块映射到内存中,并调用其中一个导出。
我对 IT 安全非常陌生(我知道 Stuxnet 可能不是最好的起点)。
如果这是一个鲁莽愚蠢的问题,我很抱歉。
笔记:我没有设置自己的标签所需的 300 点声誉,这就是标签列表毫无意义的原因。如果有人可以编辑标签,我建议震网,滴管或者滴管组件, 和先进持续性威胁
答案1
这确实不是一个好的起点,特别是如果你不打算成为一名程序员。
也就是说,已编译的程序已将其代码翻译成机器代码,该机器代码可以反汇编成一种非常低级的语言,通常称为汇编语言(每个 CPU 平台都有自己的汇编语言,如 x86 或 ARM)。它主要是 CPU 原生指令流,可以输入处理器执行,但它也存储资源、跟踪静态变量以及平台执行程序所需的其他信息。
分析恶意代码的人通常没有程序的原始源代码,因此他们要么使用汇编语言进行分析,要么将其反编译为更高级的语言。
在 Assembly 中,代码和资源被组织成 Sections(也称为细分)。常见的部分包括.Data、.BSS和.Text。
在编程中“Stub”用于描述构造的部分定义(方法存根)或为测试而加载部分代码的程序(测试存根)。
有关汇编代码和部分的更多信息请参见此处: https://www.tutorialspoint.com/assembly_programming/assembly_basic_syntax.htm