Всем привет. Писал тут небольшой сканер файлов. И с удивлением для себя обнаружил, что многие exe как матрешки нашпигованы PE заголовками. То есть несколько файлов объединены последовательно друг за другом.
Ладно таким страдают всякие джойнеры, но нет вполне себе уважаемые программы. Есть идеи с какой практической целью такое делается???

| Сообщение посчитали полезным:

К примеру, DLL-ки можно сложить в ресурсы. Практическая цель - вся программа в одном файле.

| Сообщение посчитали полезным: TryAga1n

Обычное дело, те же дрова часто так цепляют.

| Сообщение посчитали полезным:

Смотря что и где там лежит. Например тот же .fon формат шрифтов это NE файл, старший брат PE, в нем есть сигнатура 'MZ' и досовский заголовок, и при этом кода можно сказать не содержит. Может и dll быть, загружаемая альтернативным виндовому лодырем, конечно феерический кретинизм, но и такое может быть.

Я видал сжатые в зип и зашифрованные дллки, которые вываливаются на диск функцией другой длл, аргумент которой - номер этой длл в списке. И тоже контору сложно заподозрить, что ее на помойке нашли. Большинство пользователей этого не видит, поэтому нормально.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Не заголовками, а сигнатурами. Называй правильно. В файле не может быть два хидера просто физически.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Не заголовками, а сигнатурами. Сигнатура это 0x00004550, а заголовок, это Собранное вместе, дос,стаб, PE хидеры, и таблица секций? Или я ошибаюсь?

Добавлено спустя 14 минут
А можно как то по коду определить ехе это или dll ?

| Сообщение посчитали полезным:

zombi-vadim сигнатура это слепок отпечаток в АВ это цепочка паттернов для индификации, в файле в hex это начало файла 42 4D 36 40 (bmp) 4D 5A 60 (MZ`) 50 45 (PE)

| Сообщение посчитали полезным:

Ходя да. Вот вытащил одну из файла, там стоит галочка в характеристиках file_dll. Вы правы.
Экономия на инсталляторе, видимо.

Добавлено спустя 3 минуты
SDKНу так и я о том же, 0x00004550 - такую сигнатуру в большом файле можно с сотню найти, а вот целиком весь хидер, получается уже заголовок?

| Сообщение посчитали полезным:

zombi-vadim пишет:
А можно как то по коду определить ехе это или dll ?
4D 5A 90 (MZђ)dll 4D 5A 60 (MZ`)exe только так ну или у каждой длл искать компилятор сигнатуры пейда можно использовать

| Сообщение посчитали полезным:

zombi-vadim

a61a_12.01.2020_EXELAB.rU.tgz - PE Format _ Microsoft Docs.zip

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Сигнатура это 0x00004550, а заголовок, это Собранное вместе, дос,стаб, PE хидеры, и таблица секций? Или я ошибаюсь?

Возьми серию туториалов ICZELION'a по PE FILE --> FORMAT <--.
Там все разжевано до тонкости.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Странно, что автора это удивило. Многократно видел такие вложения. Даже парсер писал, по "вычленению" вложенных файлов.
Особенно это характерно для программ написанных на PureBasic. Видимо там в IDE такая "фича" реализована, что сопутствующие файлы (при том не только dll, но и exe) собираются в один.
Еще встречал в .Net Core 3.0 такую "упаковку", где сопутсвующие dll просто "склеены" одна за другой.

| Сообщение посчитали полезным:

AdlerМеня удивил практический смысл. Для чего пихать все в один файл. Существуют инсталляторы, можно положить все в папку с программой. Я полагал как оказывается наивно что наличие повторного заголовка признак вирусного джойнера.

Добавлено спустя 3 минуты
plutosSignature - это PE-сигнатуpа, "PE" следуемое за двумя нулями. Вот там так и написано.

| Сообщение посчитали полезным:

Есть один способ, это очень грязный трюк с памятью --> Link <--

- в этом случае действительно может быть два заголовка, какой из них существует определяется средой, файл это или отображение.

-----
vx

| Сообщение посчитали полезным:

zombi-vadim, практический смысл, когда это однофайловая портативная программа, которую не надо никуда устанавливать. Запустил, распаковала, еcли надо, нужные файлы в TEMP, сделало с ним что надо и удалила.

| Сообщение посчитали полезным:

zombi-vadim

> А можно как то по коду определить ехе это или dll ?

Нет. Разница между ними в одном бите, это маркер длл в хидере. Но обычно можно отличить по отсутствию релоков, длл всегда их имеет. Самый надёжный способ это посмотреть прототип EP. Он отличается для exe/dll, например числом параметров, из dll-ep всегда должен быть возврат. Для экзе возврат это завершение процесса.

Хранить исполняемые файлы не криптованными в ресурсах просто глупо, авер посчитает что это загрузчик из памяти и выдаст детект по эвристике.

-----
vx

| Сообщение посчитали полезным:

ClockManplutos ему нужна готовая утилита которая будет находить в любом файле или склееном с exe или dll и находить в нём длл или exe и наверно их сохранять для изучения.

| Сообщение посчитали полезным:

SDKНе нужна, я ее сам случайно написал, немного только доработать.

| Сообщение посчитали полезным:

SDK пишет:
сигнатура это слепок отпечаток в АВ это цепочка паттернов для индификации
Для индификации бинарников нужно юзать визоры. Сигнатурный поиск - это прошлый век

| Сообщение посчитали полезным:

rmn пишет:
Для индификации бинарников нужно юзать визоры.

rmn, старушки на лавочках болтают, что такого понятия и термина как визор - в природе не существует. Его придумал один "гений" из Белорусии и через форум exelab внедрил на благодатную "почву" России. И, кстати, про этого "гения" болтают, что и его в природе не существует. В общем, несуществующие "гении" - придумывают несуществующие термины.

| Сообщение посчитали полезным:

sim_19

Как тебе удалось получить отрицательный рейтинг -14 лучше расскажи, я много раз это спрашивал но так и не понял.

rmn

Я бы прогнал статически EP конструктором и определил прототип по retN или по доступу к параметрам прототипа. Но тс такое сделать не сможет.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Как тебе удалось получить отрицательный рейтинг -14 лучше расскажи, я много раз это спрашивал но так и не понял.

С удовольствием, но только после того как вы объясните, что вы подразумеваете под понятием визор? И приведете пару ссылок на источники которым можно доверять. Да хоть на ту же википедию.

| Сообщение посчитали полезным:

sim_19

Люди с таким то минусом не имеют права задавать вопросы.

-----
vx

| Сообщение посчитали полезным: SDK

rmn пишет:
Для индификации бинарников нужно юзать визоры.
я им пользоваться не умею,для этого есть специально обученные люди.

zombi-vadim пишет:
Не нужна, я ее сам случайно написал, немного только доработать.
ну не знаю мне бы такая не помешала как и разработчикам АВ вот прикрутил вам файл (картинка в png для теста вашего инструмента своеобразный анпакми.
в нём что только нет 1.там есть полнофункциональная дема под вин32. 2.там есть музыкальный файл. 3.там есть dll ну и 4. для любителей заговоров и пораноидальных там есть вирус очень страшный но не опасный ring0.

От модератора: малварь удалена
как отковыряете все 4 расскажите нам что как и куда (столько всего и 24.2кб красота )

| Сообщение посчитали полезным:

Даёшь минус сто, что же мелочиться.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
sim_19
Люди с таким то минусом не имеют права задавать вопросы.

Что-то когда я что-нибудь у вас спрашивал на уровне 2*2=4, вас не сильно заботил мой минусовой рейтинг. А тут вдруг он вас так сильно озаботил. С чего бы это? Может потому, что я прав и вам, как говорят в народе, - "нечем крыть"? Так что же все-таки вы вклдываете в понятие визор, а difexacaw?

| Сообщение посчитали полезным:

sim_19

Уже -15 давай признавайся как ты это делаешь.

-----
vx

| Сообщение посчитали полезным:

SDKНичего в вашей картинке нет кроме мусора.

| Сообщение посчитали полезным:

zombi-vadim пишет:
SDKНичего в вашей картинке нет кроме мусора.
Молодой Человек вы думаете я вас обманываю?,там есть музыка там есть демо.exe и (длл) и даже вирус как я писал можете на вирус тотал скинуть покажет .
хрен с ней с длл она не нужная ,но музыку и ехе выташить легко думайте давайте и не спорьте.

| Сообщение посчитали полезным:

difexacaw
Да это психбольной sty/dma, у него каждый акк в минуса уходит. Не обращайте внимания на идиота.

Я не знаю за инсталляторы, но в малваре самопальные упаковщики урезают РЕ хидеры, затирая какие-то поля (скажем те же MZ PE , dos stub), чтобы авер так легко не нашел.

| Сообщение посчитали полезным: