ファイルオーバーレイは、exe /ウイルスによってどのように読み取られますか？

Question

私が知っていることによると、オーバーレイはPEファイルの一部であり、PEヘッダーでカバーされていないため、ロードされたPEの仮想イメージの一部ではありません。

私の質問は、オーバーレイがメモリ内のPEの他のすべてのコード（セクション）と共に読み込まれていない場合、オーバーレイウイルスはどのように実行されるのですか？ディスクからファイルを読み取りますか/

オーバーレイウイルスとは、オーバーレイから悪意のあるコードを実行するマルウェアを意味しますか？

RoraΖ · Accepted Answer

オーバーレイは、実行可能ファイルの最後に追加されたデータです。これを検出するのは難しい場合があります。ただし、この部分は実行可能ファイルをメモリにロードするときにのみ無視されることに注意してください。読み取り用にファイルを開くと、オーバーレイ部分を含むファイル全体にアクセスできます。

PEヘッダーには実行可能ファイルのサイズが含まれ、これに基づいてオーバーレイセクションの開始を試みることができます。ただし、このサイズはゼロまたは0xffffffffを含む任意のサイズにすることができます。

ウイルスは、実行可能部分を使用してシステムに足を踏み入れ、適切な権限を持っていると、より疑わしいコードをオーバーレイからメモリにロードします。この場合、ウイルスはすでにファイルのどこに余分なコードがあるかを知っています。

ここでの利点は、EXEによる最初のアクションにより、過去のウイルススキャナーを実行できるようになり、オーバーレイ部分が考慮されなくなることです。

データをEXEに追加する方法は、これを正当な手段で実行する方法について説明した素晴らしい記事です。