Mehr über den Rich-Header

Vor fast zwei Jahren hatte ich in einem Beitrag auf den Rich-Header hingewiesen, den man in den meisten unter Microsoft Windows ausführbaren Dateien findet. Jetzt hat sich Daniel Pistelli der Sache angenommen.

Betrachtet man eine unter Microsoft Windows ausführbare Datei (EXE, DLL, SYS...) in einem Hex-Editor, so fällt zunächst die Zeichenfolge "Rich" auf. Unmittelbar davor befindet sich eine Reihe sehr ähnlicher Werte. Anzahl und Wert variieren dabei von Datei zu Datei.

Der Rich Header im Kopf einer EXE-Datei

Was erzeugt diese Werte und welche Bedeutung haben Sie? Vor fast zwei Jahren hatte ich auf einen Deutungsversuch hingewiesen. Nun hat Daniel Pistelli den Rich-Header eingehend untersucht.

Pistelli fand den Urheber des Blocks in der Funktion CbBuildProdidBlock des Microsoft Linkers. In seinem Artikel disassembliert er diese Funktion. Die einzelnen Werte führt er auf den Compiler zurück. Der Informationsgehalt ist nach seiner Meinung jedoch eher gering:

However, it surely isn't sensitive data. It's more like a flag: in most cases from a @comp.id symbol to another only one bit changes; and in many cases not even that. In fact, I seem to be unable to produce an object (or library) which has a different value than 0x006EC627, and so do my friends with their compilers.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12