MZヘッダとは【用語集詳細】
MZヘッダ(MZ Header)は、WindowsOSの実行ファイル(PE)のヘッダ部分に含まれるDOS MZ実行形式ヘッダです。
元々はDOSの実行ファイルフォーマットですが、現在のWindows実行ファイルフォーマットであるPEはこのDOS実行ファイルフォーマットを格納しています。
PEフォーマットはDOS実行ファイル用のヘッダとコードを冒頭に配置し、互換性を持つWindowsOSがDOS実行ファイルを実行することを可能にします。
マルウェアのリバースエンジニアリングやメモリ解析では、PEファイルに含まれるMZヘッダを探すことで実行ファイルの特定を試みます。
また実行ファイル内のMZヘッダを改ざん・削除した場合、Windowsは当該ファイルを実行ファイルと認識せず、壊れたファイルとして処理します。
この特性を利用した「なりすまし」による防御回避方法が存在します。
一部のマルウェアは、意図的にMZヘッダを削除し、「壊れたファイル」に見える実行ファイルを配送することによって、セキュリティツールによる検知を回避します。マルウェアはその後、MZヘッダを修復させることで、本来の悪性コードを実行します。
なお、「MZ」はMS-DOSの開発者の一人Mark Zbikowskiにちなんだ署名です。
