PE File 탐지 방법

PE 파일을 탐지하기 위한 시그니처 입니다.
ALERT TCP any any -> any any (msg:”PE FILE Detection”; Content:”|4d 5a|”; byte_jump:4,58,relative,little; byte_test:2,=,0x5045,-64,relative; sid:01;)

첫번재 시그니처 4d 5a를 탐지후 offset 58byte(relative)로 4바이트 값 만큼 점프하면

PE헤더 시작 주소를 지정하고 있습니다.

이 PE헤더 주소값은 offset 0부터 계산한 값을 가지고 있습니다.

따라서 탐지 위해서는 content탐지 시 사용한 2byte, byte_jump를 하면서 사용한 58+4byte를 빼야 PE헤더 시작 주소를

찾을 수 있습니다.  그럼으로  byte_test의 offset은 -64가 되는 것입니다.

Advertisements

About this entry