BlackNullSec Path #2: PE PARSİNG

🚀 Amaç: Çalışan bir programın içindeki bilgileri bulma işidir.Veri taşımıyorsun Verinin yerini buluyorsun.

"Pe yapısı,Windowsta exe ve dll dosyalarının nasıl yüklenecegini nerde başlatılacagını hangi bekllekte
alanlarında nasıl yerleşecegini tanımlayan bir yapıdır.
🎯 Pe parsing aslında bir exe veya dll dir ve bu binlerce "byte" ile olur

Bilgisayar şunları bilmez PE dosyası, Windows’a şunu söyler:

1-) Entrypoint nerede
2-) Fonksiyon nerede
3-)İmport/Export nerede
4-)Belleğe nasıl yükleneceğim?
Not="Pe Header bu soruların haritasıdır."

Windows loader, PE yapısını okuyarak:

1-) belleği ayırır
2-) section’ları map eder
3-) import’ları çözer
4-) ve programı çalıştırır
Not-) Yani PE = çalıştırma rehberi

Sıralama

• DOS HEADER
• NT HEADERS
• OPTIONAL HEADER
• DATA DIRECTORY
• EXPORT/IMPORT/SECTION

🧠 Disk vs Memory (Çok Kritik)

PE dosyasının iki hali vardır:

| Disk Üzerinde | Bellekte       |
| ------------- | -------------- |
| RAW offsets   | RVA’lar        |
| Sıkıştırılmış | Align edilmiş  |
| Loader yok    | Loader sonrası |

  

Malware Neden PE’yi Manipüle Eder?

Çünkü:

AV’ler PE’yi parse eder
Sandbox’lar entry point’e bakar
Import table analiz edilir

Malware’ler:

1-)sahte section ekler
2-)import’ları gizler
3-)entry point’i kaydırır
4-)PE’yi runtime’da onarır
5-)Yani PE = savaş alanı

Windows Loader PE’yi Nasıl Kullanır?

Özetle loader şunları yapar:

DOS Header’ı okur
NT Headers’a gider
Section’ları map eder
Import Table’ı çözer
EntryPoint’e atlar
📌 İşte process hollowing, manual mapping, reflective loading gibi teknikler burada devreye girer.

⚠️ Kritik Uyarı

Bu seri yalnızca eğitim ve savunma amaçlıdır.. Gerçek sistemlere uygulanması yasadışı olabilir. Asla gerçek ortamlarda test etme.

Related Post

malware 2024 • 3

Dosya Apı Nedir.

Malware 2024 • 3

Process Apı Nedir.

Malware 2024 • 3

Memory apı Nedir.