An Information Hiding Algorithm Based on Bitmap Resource of Portable Executable File 被引量：2

1

作者 Jie Xu Li-Jun Feng Ya-Lan Ye Yue Wu 《Journal of Electronic Science and Technology》 CAS 2012年第2期181-184,共4页

An information hiding algorithm is proposed, which hides information by embedding secret data into the palette of bitmap resources of portable executable （PE） files. This algorithm has higher security than some trad... An information hiding algorithm is proposed, which hides information by embedding secret data into the palette of bitmap resources of portable executable （PE） files. This algorithm has higher security than some traditional ones because of integrating secret data and bitmap resources together. Through analyzing the principle of bitmap resources parsing in an operating system and the layer of resource data in PE files, a safe and useful solution is presented to solve two problems that bitmap resources are incorrectly analyzed and other resources data are confused in the process of data embedding. The feasibility and effectiveness of the proposed algorithm are confirmed through computer experiments. 展开更多

关键词 Bitmap resources data embedding information hiding portable executable file.

在线阅读 下载PDF 职称材料

Impact of Portable Executable Header Features on Malware Detection Accuracy

2

作者 Hasan H.Al-Khshali Muhammad Ilyas 《Computers, Materials & Continua》 SCIE EI 2023年第1期153-178,共26页

One aspect of cybersecurity,incorporates the study of Portable Executables(PE)files maleficence.Artificial Intelligence(AI)can be employed in such studies,since AI has the ability to discriminate benign from malicious... One aspect of cybersecurity,incorporates the study of Portable Executables(PE)files maleficence.Artificial Intelligence(AI)can be employed in such studies,since AI has the ability to discriminate benign from malicious files.In this study,an exclusive set of 29 features was collected from trusted implementations,this set was used as a baseline to analyze the presented work in this research.A Decision Tree(DT)and Neural Network Multi-Layer Perceptron(NN-MLPC)algorithms were utilized during this work.Both algorithms were chosen after testing a few diverse procedures.This work implements a method of subgrouping features to answer questions such as,which feature has a positive impact on accuracy when added?Is it possible to determine a reliable feature set to distinguish a malicious PE file from a benign one?when combining features,would it have any effect on malware detection accuracy in a PE file?Results obtained using the proposed method were improved and carried few observations.Generally,the obtained results had practical and numerical parts,for the practical part,the number of features and which features included are the main factors impacting the calculated accuracy,also,the combination of features is as crucial in these calculations.Numerical results included,finding accuracies with enhanced values,for example,NN_MLPC attained 0.979 and 0.98;for DT an accuracy of 0.9825 and 0.986 was attained. 展开更多

关键词 AI driven cybersecurity artificial intelligence CYBERSECURITY Decision Tree Neural Network Multi-Layer perceptron Classifier portable executable(pe)file header features

在线阅读 下载PDF 职称材料

Robust Malicious Executable Detection Using Host-Based Machine Learning Classifier

3

作者 Khaled Soliman Mohamed Sobh Ayman M.Bahaa-Eldin 《Computers, Materials & Continua》 SCIE EI 2024年第4期1419-1439,共21页

The continuous development of cyberattacks is threatening digital transformation endeavors worldwide and leadsto wide losses for various organizations. These dangers have proven that signature-based approaches are ins... The continuous development of cyberattacks is threatening digital transformation endeavors worldwide and leadsto wide losses for various organizations. These dangers have proven that signature-based approaches are insufficientto prevent emerging and polymorphic attacks. Therefore, this paper is proposing a Robust Malicious ExecutableDetection (RMED) using Host-based Machine Learning Classifier to discover malicious Portable Executable (PE)files in hosts using Windows operating systems through collecting PE headers and applying machine learningmechanisms to detect unknown infected files. The authors have collected a novel reliable dataset containing 116,031benign files and 179,071 malware samples from diverse sources to ensure the efficiency of RMED approach.The most effective PE headers that can highly differentiate between benign and malware files were selected totrain the model on 15 PE features to speed up the classification process and achieve real-time detection formalicious executables. The evaluation results showed that RMED succeeded in shrinking the classification timeto 91 milliseconds for each file while reaching an accuracy of 98.42% with a false positive rate equal to 1.58. Inconclusion, this paper contributes to the field of cybersecurity by presenting a comprehensive framework thatleverages Artificial Intelligence (AI) methods to proactively detect and prevent cyber-attacks. 展开更多

关键词 portable executable MALWARE intrusion detection CYBERSECURITY zero-day threats Host IntrusionDetection System(HIDS) machine learning Anomaly-based Intrusion Detection System(AIDS) deep learning

在线阅读 下载PDF 职称材料

PE文件格式剖析 被引量：7

4

作者 嵇海明 杨宗源 《计算机应用研究》 CSCD 北大核心 2004年第3期165-166,193,共3页

主要分析了PE(PortableExecutable)文件格式,重点探讨了PE文件中的输入表、输出表以及资源段的格式,还探究了在微软全新的.Net平台上对PE文件的扩展,给出了一些分析PE文件格式的工具。

关键词 pe文件格式 段 pe扩展

在线阅读 下载PDF 职称材料

基于PE文件资源数据的信息隐藏方案 被引量：5

5

作者 端木庆峰 王衍波 +1 位作者 张凯泽 王熹 《计算机工程》 CAS CSCD 北大核心 2009年第13期128-130,133,共4页

研究PE图标和位图资源存储格式及其特点,提出基于PE资源数据的信息隐藏方案。该方案利用PE文件的隐蔽性,采用有效的信息隐藏算法将秘密信息嵌入到PE资源数据中,提高信息隐藏的安全性和隐藏容量。针对PE图标和位图特点,提出一种新的调色... 研究PE图标和位图资源存储格式及其特点,提出基于PE资源数据的信息隐藏方案。该方案利用PE文件的隐蔽性,采用有效的信息隐藏算法将秘密信息嵌入到PE资源数据中,提高信息隐藏的安全性和隐藏容量。针对PE图标和位图特点,提出一种新的调色板冗余颜色分配算法,提高基于调色板颜色冗余隐藏算法的嵌入量。 展开更多

关键词 pe文件 信息隐藏 最低有效位算法

在线阅读 下载PDF 职称材料

PE可执行程序中Main函数的定位技术 被引量：2

6

作者 付文 赵荣彩 +1 位作者 庞建民 张一弛 《计算机工程》 CAS CSCD 北大核心 2010年第16期47-48,51,共3页

针对二进制代码分析中由于无符号表信息造成的难以定位主函数main()的问题,提出一种面向PE可执行程序的main函数定位方法。通过分析PE程序从入口点处开始的执行过程从而提炼相关模板,采用模板匹配的方法定位程序中主函数main()的地址。... 针对二进制代码分析中由于无符号表信息造成的难以定位主函数main()的问题,提出一种面向PE可执行程序的main函数定位方法。通过分析PE程序从入口点处开始的执行过程从而提炼相关模板,采用模板匹配的方法定位程序中主函数main()的地址。实验结果表明,该方法能够有效实现不同编译环境下PE可执行程序的main()函数定位,有助于提高二进制代码分析工具的分析能力。 展开更多

关键词 二进制代码分析 符号表 pe可执行程序 模板匹配

在线阅读 下载PDF 职称材料

基于PE结构的系统API定位技术 被引量：2

7

作者 刘辉宇 冯向东 +1 位作者 陈晓苏 朱哲 《华中科技大学学报（自然科学版）》 EI CAS CSCD 北大核心 2006年第9期11-13,共3页

提出了一种新的系统API入口地址定位技术.通过当前线程的TEB结构获取宿主进程空间的PEB结构,通过PEB结构中的InInitializationOrderModuleList成员变量对宿主进程加载的所有模块进行遍历,获取系统API所在动态链接库的基地址.在此基础上... 提出了一种新的系统API入口地址定位技术.通过当前线程的TEB结构获取宿主进程空间的PEB结构,通过PEB结构中的InInitializationOrderModuleList成员变量对宿主进程加载的所有模块进行遍历,获取系统API所在动态链接库的基地址.在此基础上,进一步获取动态链接库PE文件头的真实地址,以获取其输出表,通过输出表中的AddressOfNames,AddessOfNameOrdinal和AddressOfFunction三个成员变量最终定位所需系统API的入口地址.该技术完全基于PE结构所提供的信息,不使用特定的函数,可有效避免防火墙的拦截,同时具有更高的效率. 展开更多

关键词 缓冲区溢出攻击 SHELLCODE 可移植的执行体

在线阅读 下载PDF 职称材料

基于数据挖掘技术的加壳PE程序识别方法 被引量：1

8

作者 赵跃华 张翼 言洪萍 《计算机应用》 CSCD 北大核心 2011年第7期1901-1903,共3页

恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算... 恶意代码大量快速的繁衍使得恶意代码自动化检测成为必然趋势,加壳程序识别是恶意代码分析的一个必要步骤。为识别加壳可执行程序,提出一种基于数据挖掘技术的自动化加壳程序识别方法,该方法提取和选取可移植可执行(PE)特征,使用分类算法检测PE文件是否加壳。测试结果表明,在使用J48分类器时加壳文件识别率为98.7%。 展开更多

关键词 可移植可执行文件分析 加壳识别 数据挖掘

在线阅读 下载PDF 职称材料

基于PE文件格式的信息隐藏技术研究 被引量：9

9

作者 方旺盛 邵利平 张克俊 《微计算机信息》 北大核心 2006年第11X期77-80,共4页

根据PE文件结构的特点,提出了利用PE文件结构中的冗余空间,冗余字段和利用PE文件中静态分配的字符串存储空间进行信息嵌入的几种方法;借助对数据以不同的形式进行解释,提出了对嵌入数据中所装载的信息进行伪装,来阻止嵌入数据所装载的... 根据PE文件结构的特点,提出了利用PE文件结构中的冗余空间,冗余字段和利用PE文件中静态分配的字符串存储空间进行信息嵌入的几种方法;借助对数据以不同的形式进行解释,提出了对嵌入数据中所装载的信息进行伪装,来阻止嵌入数据所装载的信息被理解和篡改;结合秘密共享技术,提出了如何对原始信息进行重新分配和组织并借助部分重新分配后的信息对原始信息进行恢复的方法。 展开更多

关键词 pe文件格式 信息隐藏 信息伪装 秘密共享

在线阅读 下载PDF 职称材料

Windows PE可执行文件压缩机制的分析 被引量：3

10

作者 孙锐 朱桂林 《计算机工程》 CAS CSCD 北大核心 2003年第21期188-191,共4页

在深入研究PE可执行文件格式和分析PE压缩工具源代码的基础上，探讨了PE可执 行文件压缩的基本思想和实现方法，提出了提高压缩率的几个方法，并指出了实践过程中存 在的问题。

关键词 pe可执行文件 压缩 块

在线阅读 下载PDF 职称材料

基于PES的Petri网可执行模型生成方法 被引量：3

11

作者 傅炯 罗爱民 +1 位作者 罗雪山 刘俊先 《系统工程与电子技术》 EI CSCD 北大核心 2017年第5期1030-1035,共6页

针对体系结构验证评估中可执行模型生成缺乏灵活性和扩展性的问题,提出了一种基于体系结构物理交换规范(physical exchange specification,PES)的Petri网可执行模型生成方法。该方法基于DoDAF 2.0提出的体系结构PES和支持对象化的扩展Pe... 针对体系结构验证评估中可执行模型生成缺乏灵活性和扩展性的问题,提出了一种基于体系结构物理交换规范(physical exchange specification,PES)的Petri网可执行模型生成方法。该方法基于DoDAF 2.0提出的体系结构PES和支持对象化的扩展Petri网标记语言(Petri net markup language,PNML)规范,构建了基于PES的Petri网可执行模型生成框架,通过体系结构模型数据含义与Petri网模型元素之间的语义映射,建立了PES与扩展PNML之间的数据映射规则,并以作战活动模型为例详细说明了数据映射规则和转换算法;最后,以民间海上搜救体系结构为例,验证了所提方法的有效性。该方法实现了灵活、自动化的Petri网可执行模型生成,打破了体现结构建模语言和Petri网模型类型的限制。 展开更多

关键词 体系结构 体系结构验证评估 可执行模型 物理交换规范 petri网标记语言

在线阅读 下载PDF 职称材料

基于浅层人工神经网络的可移植执行恶意软件静态检测模型

12

作者 花天辰 马晓宁 智慧 《计算机应用》 北大核心 2025年第6期1911-1921,共11页

针对基于深度学习的可移植执行(PE)恶意软件检测方法中,数据集存在的不平衡或不完整问题,以及神经网络结构过深或特征集庞大而导致的模型计算资源开销和耗时增加问题,提出一种基于浅层人工神经网络(SANN)的PE恶意软件静态检测模型。首先... 针对基于深度学习的可移植执行(PE)恶意软件检测方法中,数据集存在的不平衡或不完整问题,以及神经网络结构过深或特征集庞大而导致的模型计算资源开销和耗时增加问题,提出一种基于浅层人工神经网络(SANN)的PE恶意软件静态检测模型。首先,利用LIEF(Library to Instrument Executable Formats)库创建PE特征提取器从EMBER数据集中提取PE文件样本,并提出一种特征组合,该特征集具备更少的PE文件特征,从而在减小特征空间和模型参数量的同时能够提高深度学习模型的性能;其次,生成特征向量,通过数据清洗去除未标记的样本;再次,对特征集内的不同特征值进行归一化处理;最后,将特征向量输入SANN中进行训练和测试。实验结果表明,SANN可达到95.64%的召回率和95.24%的准确率,相较于MalConv模型和LightGBM模型,SANN的准确率分别提高了1.19和1.57个百分点。SANN的总工作耗时约为用时最少的对比模型LightGBM的1/2。此外,SANN在面对未知攻击时具备较好的弹性,且仍能够保持较高的检测水平。 展开更多

关键词 恶意软件 静态检测 深度学习 浅层人工神经网络 可移植执行文件

在线阅读 下载PDF 职称材料

PE文件格式的大容量信息隐藏技术 被引量：1

13

作者 魏为民 刘锟 万晓鹏 《南京理工大学学报》 EI CAS CSCD 北大核心 2015年第1期45-49,共5页

为了进一步实现利用可移植可执行(Portable executable,PE)文件隐藏大容量的信息,该文对大容量隐藏信息的方法进行了研究。该文利用PE文件格式存在冗余空间的特点,实现了对PE文件进行信息嵌入。提出了一种利用多个PE文件存储信息的方法... 为了进一步实现利用可移植可执行(Portable executable,PE)文件隐藏大容量的信息,该文对大容量隐藏信息的方法进行了研究。该文利用PE文件格式存在冗余空间的特点,实现了对PE文件进行信息嵌入。提出了一种利用多个PE文件存储信息的方法。通过对多个PE文件的区块冗余进行信息嵌入,实现了大容量的信息隐藏。研究结果表明,利用多个PE文件进行信息隐藏能为大容量信息隐藏提供新的思路。 展开更多

关键词 可移植可执行文件 信息隐藏 嵌入 提取 大容量 信息伪装 区块冗余 隐写术

在线阅读 下载PDF 职称材料

基于指令长度编码的PE软件水印 被引量：1

14

作者 周萍 杨旭光 《计算机工程与设计》 CSCD 北大核心 2008年第19期5119-5122,共4页

根据PE文件中指令的信息冗余及PE文件的特点,提出了一种新的基于指令长度编码的PE软件水印方法。该方法使用SMC技术和指令的长度来编码水印,建立了水印和软件的依赖。实验结果表明,此方法能够以适中的性能代价来建立这种依赖并以此提高... 根据PE文件中指令的信息冗余及PE文件的特点,提出了一种新的基于指令长度编码的PE软件水印方法。该方法使用SMC技术和指令的长度来编码水印,建立了水印和软件的依赖。实验结果表明,此方法能够以适中的性能代价来建立这种依赖并以此提高了水印抵抗多种攻击的能力。 展开更多

关键词 pe文件格式 反汇编 自修改代码 软件水印 依赖

在线阅读 下载PDF 职称材料

PE文件格式解析 被引量：3

15

作者 程艳芬 翟海波 钟辉 《交通与计算机》 2003年第5期109-112,共4页

文章介绍了操作系统的可移植执行文件及其架构,对其格式中比较重要的部分进行了较为详细的分析。

关键词 操作系统 可移植执行文件 pe文件格式 EXE文件 结构

在线阅读 下载PDF 职称材料

PE文件格式分析 被引量：5

16

作者 李卓远 鲜明 《电脑知识与技术》 2009年第3X期2379-2381,共3页

主要分析了PE(Portable Executable)文件格式,重点探讨了PE文件中的输入表、输出表以及资源段的格式,还探究了在微软全新的.Net平台上对PE文件的扩展。

关键词 pe文件格式 段 pe扩展

在线阅读 下载PDF 职称材料

PE文件的水印算法研究与实现 被引量：1

17

作者 袁杰 《科学技术与工程》 北大核心 2012年第21期5176-5180,共5页

针对已有的两种基于重构PE(Portable Executable)文件结构的水印算法无法应对扭曲变形,而使水印提取错误等问题,利用位图文件的调色板颜色项在位图数据中的出现频数不可改变这一统计规律,建立软件水印与频数序列之间的依赖关系,将水印... 针对已有的两种基于重构PE(Portable Executable)文件结构的水印算法无法应对扭曲变形,而使水印提取错误等问题,利用位图文件的调色板颜色项在位图数据中的出现频数不可改变这一统计规律,建立软件水印与频数序列之间的依赖关系,将水印信息关联到PE文件自身的静态特征中,提出了一种基于文件位图资源的新水印算法。分析表明,该方案相比基于变换PE文件资源结构和引入表结构的算法具有更好的鲁棒性,不仅具有不可感知性,还能抵抗扭曲变形攻击。 展开更多

关键词 pe文件 软件水印 变形攻击 资源节 位图调色板

在线阅读 下载PDF 职称材料

一种基于PE文件的信息隐藏方法的研究与实现 被引量：1

18

作者 杨小龙 赵辉 《计算机安全》 2014年第9期8-12,共5页

通过研究PE文件的格式,分析了目前存在的冗余空间进行信息隐藏的不足,利用PE文件资源结构提出一种基于PE文件的信息隐藏方法,通过将信息隐藏于PE文件资源节中,隐藏后PE文件的大小没有改变,而且也不破坏原PE文件的执行,最终达到将信息分... 通过研究PE文件的格式,分析了目前存在的冗余空间进行信息隐藏的不足,利用PE文件资源结构提出一种基于PE文件的信息隐藏方法,通过将信息隐藏于PE文件资源节中,隐藏后PE文件的大小没有改变,而且也不破坏原PE文件的执行,最终达到将信息分散隐藏的目的,提高信息的隐蔽性。 展开更多

关键词 pe文件 资源节 信息隐藏

在线阅读 下载PDF 职称材料

Semantic Malware Classification Using Artificial Intelligence Techniques

19

作者 Eliel Martins Javier Bermejo Higuera +3 位作者 Ricardo Sant’Ana Juan Ramón Bermejo Higuera Juan Antonio Sicilia Montalvo Diego Piedrahita Castillo 《Computer Modeling in Engineering & Sciences》 2025年第3期3031-3067,共37页

The growing threat of malware,particularly in the Portable Executable(PE)format,demands more effective methods for detection and classification.Machine learning-based approaches exhibit their potential but often negle... The growing threat of malware,particularly in the Portable Executable(PE)format,demands more effective methods for detection and classification.Machine learning-based approaches exhibit their potential but often neglect semantic segmentation of malware files that can improve classification performance.This research applies deep learning to malware detection,using Convolutional Neural Network(CNN)architectures adapted to work with semantically extracted data to classify malware into malware families.Starting from the Malconv model,this study introduces modifications to adapt it to multi-classification tasks and improve its performance.It proposes a new innovative method that focuses on byte extraction from Portable Executable(PE)malware files based on their semantic location,resulting in higher accuracy in malware classification than traditional methods using full-byte sequences.This novel approach evaluates the importance of each semantic segment to improve classification accuracy.The results revealed that the header segment of PE files provides the most valuable information for malware identification,outperforming the other sections,and achieving an average classification accuracy of 99.54%.The above reaffirms the effectiveness of the semantic segmentation approach and highlights the critical role header data plays in improving malware detection and classification accuracy. 展开更多

关键词 MALWARE portable executable SEMANTIC convolutional neural networks

在线阅读 下载PDF 职称材料

面向PE病毒检测的行为特征分析方法研究

20

作者 王静 梁大钊 +2 位作者 吴永顺 饶丽萍 黄晓生 《信息安全与技术》 2014年第6期22-26,共5页

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般... 目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。 展开更多

关键词 pe病毒 行为分析 病毒检测 可执行文件

在线阅读 下载PDF 职称材料