




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section . Section n PE文件结构的总体层次分布。 所有 PE文件(甚至32位的 DLLs) 必须以一个简单的 DOS MZ header 开始,在偏移0处有DOS下可执行文件的“MZ标志”,有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随 MZ header 之后的 DOS stub。DOS stub实际上是个有效的EXE,在不支持 PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串 This pr
2、ogram cannot run in DOS mode 或者程序员可根据自己的意图实现完整的 DOS代码。通常DOS stub由汇编器/编译器自动生成,对我们的用处不是很大,它简单调用中断21h服务9来显示字符串This program cannot run in DOS mode。 PE文件由于使用高级语言编写的,存在大量的冗余,我们需要做的是在不影响程序执行的基础上把我们的资料存放到那些程序没用到的空间。我们可在上边的节表中发现SizeOfRawData,VirtualSize,一个是物理长度,一个是实际长。SizeOfRawData-VirtualSize就是我们可利用的空间。我们只要
3、找到这段空间的起始地址就行了。而PointerToRawData就是我们要的,这样问题都解决了。剩下的只是编程实现了。另外,除了段空间可利用外,文件头也有一大段的空间可用,CIH病毒就是利用它隐藏自己的。为了加强隐密性,我们需要把VirtualSize的值改为VirtualSize+加入该段的长度。而这会导致后来还原不回来,所以要在文件中加入一段特殊的字符串,这样在还原时根据该字符串得到隐藏资料的起点。在程序中特殊字符串即用户输入的密码。这样不知道密码者就不容易获得其中隐藏资料。段程序占用空间可利用空间段首地址PointerToRawData真实长度 VirtualSize物理长度SizeOf
4、RawData第一段的PointerToRawData DOS MZ header DOS stub PE header Section table 可利用空间(大约3kb,CIH病毒利用此空间)Void getpeheader(CString filename)CFile cf;cf.Open (filename,CFile:modeRead); cf.ReadHuge(&dos_head,sizeof(IMAGE_DOS_HEADER); cf.Seek(dos_head.e_lfanew,0); cf.ReadHuge(&signature,sizeof(DWORD);
5、cf.ReadHuge(&_head,sizeof(IMAGE_FILE_HEADER); cf.ReadHuge(&opt_head,sizeof(IMAGE_OPTIONAL_HEADER); cf.Close();Void getsection(Cstring filename)CFile cf;cf.Open (filename,CFile:modeRead); long secpos= sizeof(IMAGE_DOS_HEADER)+dos_head.e_lfanew+ sizeof(DWORD) +sizeof(IMAGE_FILE_HEADER) +sizeof
6、(IMAGE_OPTIONAL_HEADER); cf.Seek(secpos,0);for (int I=0 ;I_head.NumberOfSections;I+)cf.ReadHuge(§ion_headerI,sizeof(IMAGE_OPTIONAL_HEADER); cf.Close(); 程序中段的总数段表位置Void writefile(Cstring filename,int section) CFile cf; cf.Open (filename,CFile:modeWrite);if(section_headersection.SizeOfRawData- section_headersection.Misc.VirtualSize)=0) cf.Close();return;cf.Seek(section_headersection.PointerToRawData+ section_headersection. VirtualSize,0);long I=0;char ch;while(I section_headersection.SizeOfRawData -
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025版企业员工特殊技能培训借款协议
- 2025年度客运服务人员劳动合同样本
- 2025版旅游产品居间服务合同范本
- 二零二五年度海外房产购置咨询合同
- 2025年度户外拓展训练赛事策划与服务合同
- 2025年度房地产抵押合同:文化旅游地产贷款范本
- 2025版动物养殖废弃物资源化利用与购销合同
- 2025返聘合同:返聘法律顾问企业法律事务合同范本
- 2025版旅游度假村开发甲方投资合同条款
- 二零二五年度绿色生态环保项目环境行政合同
- 2025年R1快开门式压力容器操作考试100题及答案
- 2025年中国离心式冷水中央空调行业市场深度分析及发展前景预测报告
- 滴灌通收入分成协议合同
- 园区建设保障房管理办法
- 2025入党培训考试题库及答案
- 2025至2030机场运营行业市场深度调研及前景趋势与投资报告
- 遂宁市射洪市招聘社区专职工作者考试真题2024
- 智慧工会平台管理办法
- 合作共建园区管理办法
- 2025年广东省中考英语试卷真题及答案详解(精校打印版)
- 2025年通 用技术集团招聘笔试备考题库(带答案详解)
评论
0/150
提交评论