预备知识-3.pptVIP

简介 在DOS环境下有四种基本的可执行文件格式 批处理文件，以.BAT结尾的文件 设备驱动文件，是以.SYS结尾的文件，如CONFIG.SYS COM文件，是以.COM结尾的纯代码文件 没有文件头部分，缺省情况下总是从0x100H处开始执行，没有重定位项，所有代码和数据必须控制在64K以内 EXE文件，是以.EXE结尾的文件 文件以英文字母“MZ”开头，通常称之为MZ文件 MZ文件有一个文件头，用来指出每个段的定义，以及重定位表。.EXE文件摆脱了代码大小最多不能超过64K的限制，是DOS下最主要的文件格式 在Windows 3.0/3.1的可执行文件，在MZ文件头之后又有一个以“NE”开始的文件头，称之为NE文件 在Win32位平台可执行文件格式：可移植的可执行文件(Portable Executable File)格式，即PE格式。MZ文件头之后是一个以“PE”开始的文件头 安装在硬盘上的程序没运行-静态 加载到内存-动态 2.6.1 MZ文件格式-Mark Zbikowski .EXE文件由三部分构成：文件头、重定位表和二进制代码 允许代码、数据、堆栈分别处于不同的段，每一段都可以是64KB. 调用C的库函数，程序编译后： 0000:0000 9 call far 1234:5678 程序加载器的重定位工作，就是将程序中需要重定位的地方，都加上程序的加载地址。 这个程序被加载到了内存中的1111段处。那么完成重定位后，代码应该是这样： 1111:0000 9 call far 2345:5678 2.6.2 NE文件格式 NE是New Excutable的缩写，是16位Windows可执行文件的标准格式，这种格式基本上没用了 NE在MZ文件头之后添加了一个以“NE”开始的文件头 2.6.3 PE文件格式 Win32可执行文件，如*.EXE、*.DLL、*.OCX等，都是PE格式 PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式 由于大量的EXE文件被执行，且传播的可能性最大，因此，Win32病毒感染文件时，基本上都会将EXE文件作为目标 2.6.3 PE文件格式 一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下： ①用户点击或系统自动运行HOST程序； ②装载HOST程序到内存； ③通过PE文件中的AddressOfEntryPoint加ImageBase之和，定位第一条语句的位置(程序入口)； ④从第一条语句开始执行(这时执行的其实是病毒代码)； ⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； ⑥HOST程序继续执行。 问题在于：计算机病毒怎会在HOST程序之前执行？ 2.6.3 PE文件格式 2.6.3 PE文件格式 相对虚拟地址 (Relative Virtual Addresses，RVA) 相对虚拟地址是一个相对于PE文件映射到内存的基地址的偏移量 2.6.3 PE文件格式 2.6.3 PE文件格式 DOS头与DOS插桩程序 PE结构中紧随MZ文件头之后的DOS插桩程序(DOS Stub) 可以通过IMAGE_DOS_HEADER结构来识别一个合法的DOS头 可以通过该结构的e_lfanew(偏移60，32bits)成员来找到PE开始的标志0“PE\0\0”) 病毒通过“MZ”、“PE”这两个标志，初步判断当前程序是否是目标文件——PE文件。如果要精确校验指定文件是否为一有效PE文件，则可以检验PE文件格式里的各个数据结构，或者仅校验一些关键数据结构。大多数情况下，没有必要校验文件里的每一个数据结构，只要一些关键数据结构有效，就可以认为是有效的PE文件 2.6.3 PE文件格式 PE文件头 紧接着DOS Stub的是PE header PE header是IMAGE_NT_HEADERS的简称，即NT映像头(PE文件头)，存放PE整个文件信息分布的重要字段，包含了许多PE装载器用到的重要域。执行体在支持PE文件结构的操作系统中执行时 PE装载器将从DOS MZ header中找到PE header的起始偏移量，从而跳过DOS Stub直接定位到真正的文件头PE header 2.6.3 PE文件格式 PE文件头的结构 字符串“PE\0\0”(Signature)(4H字节) 2.6.3 PE文件格式 紧跟映像文件头后面的是可选映像头-是必须的！ 2.6.3 PE文件格式 DataDirectory：数据目录表