學(xué)習(xí)“免殺技術(shù)”前應(yīng)該掌握的“基礎(chǔ)知識(shí)”

作者：信息安全我來(lái)講你來(lái)聽 2019-03-26 09:41:11

在Windows下所謂PE文件即Portable Executable，意為可移植的可執(zhí)行的文件。而今天我們就來(lái)具體了解一下PE文件的DOS頭和PE頭的結(jié)構(gòu)成員與部分成員的作用。

一、什么是PE文件?

在Windows下所謂PE文件即Portable Executable，意為可移植的可執(zhí)行的文件。常見(jiàn)的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一個(gè)共同特點(diǎn)：前兩個(gè)字節(jié)為4D 5A(MZ)。如果一個(gè)文件前兩個(gè)字節(jié)不是4D 5A則其肯定不是可執(zhí)行文件。比如用16進(jìn)制文本編輯器打開一個(gè)".xls"文件其前兩個(gè)字節(jié)為：0XD0 0XCF;打開一個(gè)".pdf"其前兩個(gè)字節(jié)為：0X25 0X50。

PE文件結(jié)構(gòu)：DOS頭+PE頭+節(jié)表+.data/.rdata/.text。而今天我們就來(lái)具體了解一下PE文件的DOS頭和PE頭的結(jié)構(gòu)成員與部分成員的作用。注意：一個(gè)exe文件本身是一個(gè)PE文件，但是由于包含dll庫(kù)，所以一個(gè)exe文件也是許多PE文件組成的(包含多個(gè)dll)一個(gè)PE文件

1. DOS頭：共40H(64字節(jié))

DOS頭中聲明用的寄存器(我們可以看到e_ss、e_sp、e_ip、e_cs還是16位的寄存器)，所以在32位/64為系統(tǒng)中用到的只有兩個(gè)成員了(第一個(gè)和最后一個(gè))：

e_magic：判斷一個(gè)文件是不是PE文件;
e_lfanew：相對(duì)于文件首的偏移量，用于找到PE頭;

學(xué)習(xí)“免殺技術(shù)”前應(yīng)該掌握的“基礎(chǔ)知識(shí)”

2. PE頭

PE頭分為標(biāo)準(zhǔn)PE頭和可選PE頭，其同為NT結(jié)構(gòu)的成員：

//NT頭  
//pNTHeader = dosHeader + dosHeader->e_lfanew;  
struct _IMAGE_NT_HEADERS{  
0x00 DWORD Signature; //PE文件標(biāo)識(shí):ASCII的"PE"  
0x04 _IMAGE_FILE_HEADER FileHeader;  
0x18 _IMAGE_OPTIONAL_HEADER OptionalHeader;  
};

根據(jù)DOS頭的e_lfanew成員我們就可以找到NT頭，NT頭的第一個(gè)成員是"PE"(0X50 0X45 0X00 0X00四字節(jié)的簽名，可以在上圖00000100H地址處觀察)，后兩個(gè)成員則分別是標(biāo)準(zhǔn)PE頭(_IMAGE_FILE_HEADER)和可選PE頭(_IMAGE_OPTIONAL_HEADER)。

3. 幾個(gè)重點(diǎn)的數(shù)據(jù)成員

(1) 文件對(duì)齊(FileAlignment)和內(nèi)存對(duì)齊(SectionAlignment)：

一個(gè)PE文件加載進(jìn)內(nèi)存中可能大于在硬盤上的大小，并且無(wú)論是在內(nèi)存中還是硬盤上，都是是分塊管理(分節(jié))，一塊和一塊存儲(chǔ)空間之間是空隙。在硬盤上空隙有可能小于內(nèi)存中空隙;在內(nèi)存中空隙較大(相較于硬盤)。而存在間隙的原因則是分塊管理。

分塊的一個(gè)原因是節(jié)省硬盤：比如notepad.exe，由于是早期的程序，當(dāng)時(shí)硬盤容量比較小，編譯器在生成可執(zhí)行文件時(shí)，不僅要考慮效率問(wèn)題使得內(nèi)存對(duì)齊/文件對(duì)齊，還需要設(shè)計(jì)成節(jié)省硬盤空間的結(jié)構(gòu)。所以這種結(jié)構(gòu)遵循的對(duì)齊原則：內(nèi)存對(duì)齊(1000H)和硬盤對(duì)齊(200H)，對(duì)齊的補(bǔ)充數(shù)據(jù)(0X0000)便是間隙。硬盤的對(duì)齊值較小，補(bǔ)充間隙自然小，因此同一個(gè)可執(zhí)行程序在內(nèi)存中可能比在硬盤上大。但是現(xiàn)如今的硬盤空間更大，所以編譯器生成的可執(zhí)行程序在硬盤上與內(nèi)存中對(duì)齊方式都是1000H。統(tǒng)一對(duì)齊為1000H的目的依舊是提高效率。

而分塊的另一個(gè)目的是節(jié)省內(nèi)存空間，比如同時(shí)在電腦上運(yùn)行登錄多個(gè)QQ賬號(hào)，就需要運(yùn)行多次QQ可執(zhí)行程序。而代碼段為只讀數(shù)據(jù)需要一份即可，數(shù)據(jù)段則需要為每個(gè)賬號(hào)均開辟一份，，多個(gè)QQ程序共享代碼塊，單獨(dú)使用數(shù)據(jù)塊，這樣就節(jié)省了多份代碼塊的內(nèi)存。(這些塊是使用結(jié)構(gòu)體來(lái)維護(hù)的，分塊即創(chuàng)建結(jié)構(gòu)體)。

(2) 鏡像地址/基址ImageBase的作用：

FileBuffer是磁盤上.exe文件在內(nèi)存中的一份拷貝，但是FileBuffer無(wú)法直接在內(nèi)存中運(yùn)行，必須經(jīng)過(guò)PE loader(裝載器)裝載以后成為ImageBuffer。ImageBuffer是FileBuffer的"拉伸"。即".exe–>FileBuffer–>ImageBuffer"

.exe首地址(基址)為0
FileBuffer首地址也為0
ImageBuffer首地址為ImageBase
而真正的程序入口地址是：ImageBase + AddressOfEntryPoint(OEP)

一個(gè)exe文件默認(rèn)鏡像地址為400000H(有可能不是，總之有一個(gè)默認(rèn)值)，如果一個(gè)exe文件中用到了多個(gè)dll，而dll文件作為一個(gè)PE文件，其默認(rèn)鏡像地址也均是400000H，操作系統(tǒng)不會(huì)修改exe的鏡像基址。因?yàn)?exe先被加載，在.exe中才加載的dll庫(kù)，由于400000已經(jīng)被.exe占用，所以裝載器會(huì)修改dll的鏡像基址。而采用ImageBase + OEP的目的也就是：采用偏移地址的方式可以更方便地修改基址，使得任何一個(gè)dll文件基址修改后程序依舊不會(huì)出錯(cuò)。比如：dll和exe基址有沖突，本只需要將沖突的.dll的文件基址修改為600000H(假設(shè)是編譯器為其分配的是600000H);如果不采用"基址+偏移地址"的方式，而采用絕對(duì)地址，那么要修改的就不是一個(gè)基址為600000H了，而是dll中所有的地址統(tǒng)一加上200000H(因?yàn)樵瓉?lái)默認(rèn)為400000H)。

二、匯編基礎(chǔ)知識(shí)

1. 寄存器

顧名思義，寄存器就是暫時(shí)存儲(chǔ)數(shù)據(jù)的地方，寄存器被設(shè)計(jì)在CPU內(nèi)部，對(duì)于一個(gè)匯編程序員來(lái)說(shuō)，CPU中最主要的部分就是寄存器了。寄存器是程序員能通過(guò)指令讀寫的部件，程序員通過(guò)改變寄存器的值間接的控制CPU

eax：拓展累加寄存器;
ecx：循環(huán)計(jì)數(shù)器;
edx：數(shù)據(jù)寄存器;
ebx：基址寄存器;

2. 堆棧

堆棧是連續(xù)的內(nèi)存單元，存取方式遵循"先進(jìn)后出"原則，棧是一種特殊的存儲(chǔ)方式，特殊在最先進(jìn)入這個(gè)空間的數(shù)據(jù)卻是最后出去的。但是堆和棧不是同一個(gè)概念，棧一般由編譯器自動(dòng)分配釋放，存儲(chǔ)函數(shù)的參數(shù)值、局部變量值等;而堆，一般由程序員分配釋放，程序結(jié)束時(shí)可能由OS(系統(tǒng))回收。