原创<br> 全球“黑客大赛”冠军霸气讲述：我是如何让50个文件一起骗过AI安防系统的？( 六 )_：全球“黑客大赛”冠军霸气讲述：我是

如上所述，PE文件可以附加任意内容。这些额外的字节被称为Overlay，当Windows执行文件时，它们不会被加载到内存中。因此，在这里添加字节不会改变恶意软件的功能。

冗余空间（Slack Space）

除了Overlay之外，每个section的末尾还有空间来添加额外的字节。PE section需要与2的幂次方的内存空间对齐。当实际内容没有填满整个空间时，该section将被Slack Space填充。这部分内存不会被可执行文件访问，所以我们也可以自由地改变它。

新的section

我们不仅可以向现有section添加字节，也可以创建新的section。新的section不会破坏文件的功能，因为现有代码没有引用它们。这给了我们足够的空间来添加任何我们想要的任何内容。

重点关注的特征

因为MalConv模型将所有内容都视为字节（不考虑上下文），所以，我们只需要专注于它们归因良性文件的模式，以压倒它们的决定。然而，Ember特征的结构要求我们仔细思考可能会阻碍它的细节。

原创<br> 全球“黑客大赛”冠军霸气讲述：我是如何让50个文件一起骗过AI安防系统的？( 六 )