学习“免杀技术”前应该掌握的“基础知识”

一、 什么是PE文件?

在Windows下所谓PE文件即Portable Executable，意为可移植的可执行的文件。常见的.EXE、.DLL、.OCX、.SYS、.COM都是PE文件。PE文件有一个共同特点：前两个字节为4D 5A(MZ)。如果一个文件前两个字节不是4D 5A则其肯定不是可执行文件。比如用16进制文本编辑器打开一个".xls"文件其前两个字节为：0XD0 0XCF;打开一个".pdf"其前两个字节为：0X25 0X50。

PE文件结构：DOS头+PE头+节表+.data/.rdata/.text。而今天我们就来具体了解一下PE文件的DOS头和PE头的结构成员与部分成员的作用。注意：一个exe文件本身是一个PE文件，但是由于包含dll库，所以一个exe文件也是许多PE文件组成的(包含多个dll)一个PE文件

1. DOS头：共40H(64字节)

DOS头中声明用的寄存器(我们可以看到e_ss、e_sp、e_ip、e_cs还是16位的寄存器)，所以在32位/64为系统中用到的只有两个成员了(第一个和最后一个)：

• e_magic：判断一个文件是不是PE文件;
• e_lfanew：相对于文件首的偏移量，用于找到PE头;

2. PE头

PE头分为标准PE头和可选PE头，其同为NT结构的成员：

//NT头  
//pNTHeader = dosHeader + dosHeader->e_lfanew;  
struct _IMAGE_NT_HEADERS{  
0x00 DWORD Signature; //PE文件标识:ASCII的"PE"  
0x04 _IMAGE_FILE_HEADER FileHeader;  
0x18 _IMAGE_OPTIONAL_HEADER OptionalHeader;  
}; 

根据DOS头的e_lfanew成员我们就可以找到NT头，NT头的第一个成员是"PE"(0X50 0X45 0X00 0X00四字节的签名，可以在上图00000100H地址处观察)，后两个成员则分别是标准PE头(_IMAGE_FILE_HEADER)和可选PE头(_IMAGE_OPTIONAL_HEADER)。

3. 几个重点的数据成员

(1) 文件对齐(FileAlignment)和内存对齐(SectionAlignment)：

一个PE文件加载进内存中可能大于在硬盘上的大小，并且无论是在内存中还是硬盘上，都是是分块管理(分节)，一块和一块存储空间之间是空隙。在硬盘上空隙有可能小于内存中空隙;在内存中空隙较大(相较于硬盘)。而存在间隙的原因则是分块管理。

分块的一个原因是节省硬盘：比如notepad.exe，，由于是早期的程序，当时硬盘容量比较小，编译器在生成可执行文件时，不仅要考虑效率问题使得内存对齐/文件对齐，还需要设计成节省硬盘空间的结构。所以这种结构遵循的对齐原则：内存对齐(1000H)和硬盘对齐(200H)，对齐的补充数据(0X0000)便是间隙。硬盘的对齐值较小，补充间隙自然小，因此同一个可执行程序在内存中可能比在硬盘上大。但是现如今的硬盘空间更大，所以编译器生成的可执行程序在硬盘上与内存中对齐方式都是1000H。统一对齐为1000H的目的依旧是提高效率。

而分块的另一个目的是节省内存空间，比如同时在电脑上运行登录多个QQ账号，就需要运行多次QQ可执行程序。而代码段为只读数据需要一份即可，数据段则需要为每个账号均开辟一份，，多个QQ程序共享代码块，单独使用数据块，这样就节省了多份代码块的内存。(这些块是使用结构体来维护的，分块即创建结构体)。

(2) 镜像地址/基址ImageBase的作用：

FileBuffer是磁盘上.exe文件在内存中的一份拷贝，但是FileBuffer无法直接在内存中运行，必须经过PE loader(装载器)装载以后成为ImageBuffer。ImageBuffer是FileBuffer的"拉伸"。即".exe–>FileBuffer–>ImageBuffer"

• .exe首地址(基址)为0
• FileBuffer首地址也为0
• ImageBuffer首地址为ImageBase
• 而真正的程序入口地址是：ImageBase + AddressOfEntryPoint(OEP)

一个exe文件默认镜像地址为400000H(有可能不是，总之有一个默认值)，如果一个exe文件中用到了多个dll，而dll文件作为一个PE文件，其默认镜像地址也均是400000H，操作系统不会修改exe的镜像基址。因为.exe先被加载，在.exe中才加载的dll库，由于400000已经被.exe占用，所以装载器会修改dll的镜像基址。而采用ImageBase + OEP的目的也就是：采用偏移地址的方式可以更方便地修改基址，使得任何一个dll文件基址修改后程序依旧不会出错。比如：dll和exe基址有冲突，本只需要将冲突的.dll的文件基址修改为600000H(假设是编译器为其分配的是600000H);如果不采用"基址+偏移地址"的方式，而采用绝对地址，那么要修改的就不是一个基址为600000H了，而是dll中所有的地址统一加上200000H(因为原来默认为400000H)。

二、 汇编基础知识

1. 寄存器

顾名思义，寄存器就是暂时存储数据的地方，寄存器被设计在CPU内部，对于一个汇编程序员来说，CPU中最主要的部分就是寄存器了。寄存器是程序员能通过指令读写的部件，程序员通过改变寄存器的值间接的控制CPU

• eax：拓展累加寄存器;
• ecx：循环计数器;
• edx：数据寄存器;
• ebx：基址寄存器;

2. 堆栈

堆栈是连续的内存单元，存取方式遵循"先进后出"原则，栈是一种特殊的存储方式，特殊在最先进入这个空间的数据却是最后出去的。但是堆和栈不是同一个概念，栈一般由编译器自动分配释放，存储函数的参数值、局部变量值等;而堆，一般由程序员分配释放，程序结束时可能由OS(系统)回收。

• esp：栈顶;
• ebp：栈底;
• esi：拓展目地指针;
• edi：拓展目地指针;
• eip：指令指针。

3. 汇编指令

汇编指令有5类：

• 数据传输指令：mov
• 逻辑计算指令：add
• 串操作指令：movs
• 控制转移指令：jmp
• 处理器控制指令：nop

其中1，2，4类指令对免杀有用。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!