Pe文件实现信息隐藏

1、DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section . Section n PE文件结构的总体层次分布。 所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始，在偏移0处有DOS下可执行文件的“MZ标志”，有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体，然后运行紧随 MZ header 之后的 DOS stub。DOS stub实际上是个有效的EXE，在不支持 PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 This pr

2、ogram cannot run in DOS mode 或者程序员可根据自己的意图实现完整的 DOS代码。通常DOS stub由汇编器/编译器自动生成，对我们的用处不是很大，它简单调用中断21h服务9来显示字符串This program cannot run in DOS mode。 PE文件由于使用高级语言编写的，存在大量的冗余，我们需要做的是在不影响程序执行的基础上把我们的资料存放到那些程序没用到的空间。我们可在上边的节表中发现SizeOfRawData，VirtualSize，一个是物理长度，一个是实际长。SizeOfRawData-VirtualSize就是我们可利用的空间。我们只要

3、找到这段空间的起始地址就行了。而PointerToRawData就是我们要的，这样问题都解决了。剩下的只是编程实现了。另外，除了段空间可利用外，文件头也有一大段的空间可用，CIH病毒就是利用它隐藏自己的。为了加强隐密性，我们需要把VirtualSize的值改为VirtualSize+加入该段的长度。而这会导致后来还原不回来，所以要在文件中加入一段特殊的字符串，这样在还原时根据该字符串得到隐藏资料的起点。在程序中特殊字符串即用户输入的密码。这样不知道密码者就不容易获得其中隐藏资料。段程序占用空间可利用空间段首地址PointerToRawData真实长度 VirtualSize物理长度SizeOf

4、RawData第一段的PointerToRawData DOS MZ header DOS stub PE header Section table 可利用空间（大约3kb,CIH病毒利用此空间)Void getpeheader(CString filename)CFile cf;cf.Open (filename,CFile:modeRead); cf.ReadHuge(&dos_head,sizeof(IMAGE_DOS_HEADER); cf.Seek(dos_head.e_lfanew,0); cf.ReadHuge(&signature,sizeof(DWORD);

5、cf.ReadHuge(&_head,sizeof(IMAGE_FILE_HEADER); cf.ReadHuge(&opt_head,sizeof(IMAGE_OPTIONAL_HEADER); cf.Close();Void getsection(Cstring filename)CFile cf;cf.Open (filename,CFile:modeRead); long secpos= sizeof(IMAGE_DOS_HEADER)+dos_head.e_lfanew+ sizeof(DWORD) +sizeof(IMAGE_FILE_HEADER) +sizeof

6、(IMAGE_OPTIONAL_HEADER); cf.Seek(secpos,0);for (int I=0 ;I_head.NumberOfSections;I+)cf.ReadHuge(&section_headerI,sizeof(IMAGE_OPTIONAL_HEADER); cf.Close(); 程序中段的总数段表位置Void writefile(Cstring filename,int section) CFile cf; cf.Open (filename,CFile:modeWrite);if(section_headersection.SizeOfRawData- section_headersection.Misc.VirtualSize)=0) cf.Close();return;cf.Seek(section_headersection.PointerToRawData+ section_headersection. VirtualSize,0);long I=0;char ch;while(I section_headersection.SizeOfRawData -