【毕业学位论文】代码融合的PE文件信息隐藏技术研究-计算机应用技术博士论文

代码融合的 PE 文件信息隐藏技术研究 摘要 随着计算机技术和互联网技术的飞速发展，计 算机的应用范围不断扩大，人们对信息的安全性要求越来越高。如何有效地进行数字化信息的安全传输和存储已引起人们的广泛关注，加密技术容易暴露信息本身的重要性，不能很好地解决这个问题，信息隐藏技术也就应运而生，并已成为信息安全领域的一个研究热点，为数字化信息的安全存储、通信提供了一种新的思路和方法。 PE 文件是 Win32 环境下可执行文件的标准格式，应用非常广泛。 PE 文件的多样性、文件大小的不确定性、文件结构的复杂性和文件格式的单一性，使得 PE 文件非常适合作为信息隐藏的载体，特别适合用于大容量的信息隐藏。现有的基于 PE 文件的信息隐藏方法主要利用 PE 文件的冗余空间和冗余字段，由于隐藏信息没有与程序功能相关联，没有与指令代码结合，存在隐藏信息过于集中、隐蔽性较差、鲁棒性不好等问题。本文对 PE文件代码节、资源节、导入表、增量链接等进行了深入的剖析，针对代码节、图标资源、导入表、增量链接的特点，研究代码融合的 PE 文件信息隐藏算法，主要研究内容与研究成果如下： （1）提出一种大容量的基于函数迁移的信息隐藏算法。首先通过反汇编引擎反汇编PE 文件代码节，然后进行函数识别并将识别出来的系统函数或用户自定义函数的函数代码迁移到 PE 文件最后一个节中，最后在函数原代码区域进行信息隐藏。为进一步提高隐蔽性和抗攻击能力，将待隐藏的信息加密并指令化，然后封装成一个标准的函数即函数化。这样，使得隐藏的信息与 PE 文件的主要功能结合在一起，隐藏的信息与 PE 文件的关键代码耦合在一起，进一步增强了系统的隐蔽性和抗攻击能力。同时，为了使隐藏了信息的指令具有一定的逻辑关系，提出一种替换函数原代码区域指令中常量操作数的信息隐藏算法。隐藏过程中只改变了指令中的常量操作数，没有改变指令操作码等其它部分，指令的基本形式没有改变，整个函数的语义和指令间的逻辑关系也没有任何变化，大大提高了系统的隐蔽性。为进一步提高隐藏容量，我们提出一种无限量的信息隐藏和提取算法，将信息函数化、指令化以后隐藏在迁移后的两个函数之间，这样只要能够识别出 2 个或 2 个以上的函数，通过函数迁移在函数原代码区域隐藏信息后，可将余下的大容量的信息隐藏在两个函数之间，实现无限量的信息隐藏。实验结果表明，所提出的算法分别从函数级、指令级、操作数级三种不同粒度进行信息隐藏的研究，算法隐藏容量大，隐蔽性好，抗攻击能力强。 （2）提出一种基于编译器增量链接特性的信息隐藏算法。采用增量链接的目的是为了提高编译速度和方便程序调试。通过分析采用增量链接模式生成的 PE 文件的特点，提出一种基于编译器增量链接特性的信息隐藏算法。该方案将隐秘信息嵌入到相邻的两个II博士学位论文 函数指令代码之间的填充区域中，函数的指令代码与嵌入的秘密信息关联在一起，提高了系统的隐蔽性和抗攻击能力。对 Windows 应用程序来说，编译器将添加一系列的系统初始化函数，生成的目标文件填充字节多，隐藏容量大。信息嵌入后，不会增加 PE 文件的长度，也不会影响程序的性能，隐蔽性好。 （3）在分析PE文件图标资源特点的基础上，利用带调色板图标和32位图标透明显示的原理，提出两种在PE 文件图标资源的透明区域隐藏信息的算法。理论分析与实验结果表明，该隐藏算法隐藏容量大，隐秘性好，嵌入信息后的图标和原始图标的显示效果完全相同，没有造成任何视觉失真，并且不会增加程序的长度，也不会影响程序性能。同时，通过在 PE文件中添加一个或多个图标的方式可以进 一步提高隐藏容量。为提高隐蔽性，新增加的图标通过复制PE文件原来的图标来实现，使新增加的图标与PE文件原来的图标资源样式一致。 （4）利用 PE 文件导入表和 PE 文件加载器的工作原理，提出基于 PE 文件 IAT 表和迁移 PE 文件导入表两种信息隐藏算法。理论分析与实验结果表明，算法较好地克服了传统 PE 文件信息隐藏算法中隐藏信息过于集中、交换 PE 文件导入表数据结构元素将破坏隐藏信息的不足，提高了隐蔽性和抗攻击性。 本文研究将为 PE 文件信息隐藏算法提供新方法与关键技术，研究成果将为互联网隐蔽通信提供技术保障，可以广泛应用于隐蔽通信、版权保护等信息安全领域。 关键词：信息隐藏；PE 文件；函数迁移；增量链接；图标资源; 透明显示；导入表 III代码融合的 PE 文件信息隐藏技术研究 Abstract With the rapid development of computer science and Internet technology, the application fields of computer are increasingly expanding. At the same time, more and more security requirements are needed. How to achieve secure transmission and storage of digital information is emergent. Mere encryption technology does not solve this problem. However, information hiding technology provides a new secure stratedgy for information communication. Now it has become a hotspot research topic in information security field. PE file is a standard format for executable file and is applied extensively. PE file has diversity, uncertainty of file size, complexity of file structure and singleness of file format, which make PE file easy to be a carrier of information hiding, especially for that of large hiding capacity. Existing information technologies based on PE file often utilize redundant space or fields. Those approaches are not related to program functions or instruction codes. Therefore there exists some disadvantages, such as exceeding convergence, bad concealment and unsatisfied robust of hidden information. In this thesis, we deeply analyze code section, resource section and import table of PE file, and further study information hiding algorithms of PE file based on code fusion by exploiting the features of code section, icon resource and import table. Main research topics and contributions are as follows: (1)A large volume information hiding algorithm base on function migration is proposed. Firstly it utilizes disassemble engine to disassemble code section of PE file, processes functions recognition, and shifts all the codes of above system or user-defined functions to the last section of PE file. Then it hides information in the old code space. To improve concealment and anti-attack capacity, it will transform hidden messages into instructions and seal them into a standard function. Like this, combining hidden information with main functions or key codes of PE file makes this algorithm good concealment and anti-attack ability. Moreover, in order to improve the above algorithm and maintain logical relation of instructions containing hidden information, an information hiding algorithm changing constant operands is proposed. The improved algorithm does not modify other parts of instructions except constant operands. Therefore, basic form of instructions and the logical relation between instructions and function semantics is not changed, which improves concealment ability significantly. Finally, to improve hiding capability, an infinite capacity hiding algorithm is proposed. It transforms hidden information into instructions and hides them between two shifted functions. Only choosing two and more functions and then hiding information by function migration, infinite information can IV博士学位论文 be hidden. Theory analysis and experiment result show that the three algorithms have stronger concealment and anti-attack capability when compared with similar algorithms. (2)An algorithm based on incremental link characteristics of compilers is presented. Adopting incremental link aims to boost compile speed and make debug convenient. By analyzing PE file characteristics after utilizing incremental link, this algorithm is designed. Concretely, it hides information into padding bytes between adjacent function codes, which integrates hidden information into program instruction codes to guarantee concealment and attack tolerance. When Windows application programs are created, the compiler will link object program with numerous initial or windows frame functions. This method has following characteristics. Firstly, large padding space ensures hiding capacity. Secondly, after hidden, PE file size does not increase. Finally, there is not any impact on program performance. (3)On the base of icon characteristics of PE file, using transparent display theory of 32 bits icon and palette icon, we propose two hiding algorithms. This algorithm hides information in the transparent region of icon resource of PE file. Theory analysis and experiment result show that it has good concealment and large hiding capability. At the same time, the icon can maintain the same appearance with primary icon without any visual distortion and length change. It also does not impact program performance. Meanwhile, we can further improve the hiding capacity by adding one or more icons to PE file. To improve concealment, the new icon is added by copying the original icon of PE file, the new icon style is consistent with the original icon. (4)According to working theory of import table and loader of PE file, an algorithm based on LAT table and an algorithm based on import table shift are proposed respectively. Theory analysis and experiment result show that the two algorithms overcome the disadvantages of previous hiding information schemes, such as hidden information convergence and destruction of import table. The thesis proposes some novel and key algorithms for hiding information technology of PE file. Research results will provide technology guarantee for covert communication via Internet. It can be used extensively in information security field, such as covert communication and rights protection. Key Words： Information hiding; PE file; Function migration; Incremental link; Icon resource; Transparent display; Import table V代码融合的 PE 文件信息隐藏技术研究 目录 学位论文原创性声明位论文版权使用授权书 .I 摘要 . II Abstract .IV 插图索引 . X 附表索引 .XII 附表索引 .XII 第 1 章 绪论 .1 1.1 课题来源 . 1 1.2 研究目的及其意义 . 1 1.3 国内外研究现状 . 2 1.4 主要研究内容 . 9 1.5 论文结构 . 10 第 2 章 信息隐藏与PE文件格式剖析 . 11 2.1 信息隐藏技术 . 11 2.1.1 信息隐藏技术的发展 . 11 2.1.2 信息隐藏的定义 . 12 2.1.3 信息隐藏的基本特征 . 13 2.1.4 信息隐藏技术的主要应用领域 . 13 2.2 PE文件格式剖析 . 14 2.2.1 与PE文件相关的基本概念 . 15 2.2.2 PE文件总体结构 . 16 2.2.3 PE文件结构剖析 . 17 2.2.4 相对虚拟地址和文件地址的转换 . 22 2.2.5 PE文件加载过程 . 23 2.3 PE文件加壳技术 . 23 2.4 关闭 Windows文件保护功能的方法 . 23 2.5 信息的分散隐藏和自动销毁技术研究 . 24 2.5.1 门限秘密共享算法 . 24 2.5.2 基于门限秘密共享算法的信息分散隐藏方法 . 25 2.5.3 基于门限秘密共享算法的信息提取方法 . 26 2.5.4 分散隐藏信息的自动销毁技术 . 26 VI博士学位论文 2.6 本章小结 . 26 第 3 章 基于函数迁移的PE文件信息隐藏算法 . 27 3.1 引言 . 27 3.2 PE文件代码节剖析 . 27 3.2.1 代码节的关键数据结构 . 27 3.2.2 代码节内部的数据组织 . 28 3.2.3 程序入口地址的确定 . 28 3.3 基于PE文件函数迁移的信息隐藏方法 . 29 3.3.1 反汇编算法 . 30 3.3.2 反汇编器的设计与实现 . 31 3.3.3 函数的识别与定位 . 33 3.3.4 函数迁移 . 37 3.3.5 信息隐藏算法 . 37 3.3.6 信息提取算法 . 38 3.3.7 隐藏信息函数化技术 . 39 3.3.8 隐藏信息指令化技术 . 40 3.3.9 基于函数迁移的无容量限制的信息隐藏和提取技术 . 47 3.4 实验结果与讨论 . 49 3.4.1 实验结果 . 49 3.4.2 讨论 . 51 3.5 本章小结 . 53 第 4 章 基于增量链接特性的信息隐藏算法 . 55 4.1 引言 . 55 4.2 编译器与链接器工作原理 . 55 4.2.1 基本概念 . 55 4.2.2 静态链接和动态链接 . 56 4.3 增量链接的工作原理 . 58 4.4 基于增量链接特性的信息隐藏算法 . 61 4.4.1 信息嵌入 . 62 4.4.2 信息提取 . 64 4.5 实验结果 . 64 4.6 性能分析与讨论 . 65 4.7 本章小结 . 66 第 5 章 基于PE文件图标资源的信息隐藏算法 . 67 5.1 引言 . 67 VII代码融合的 PE 文件信息隐藏技术研究 5.2 PE文件资源节结构与PE文件图标资源 . 68 5.2.1