(读)向PE文件中插入可执行代码的研究.pdf

第 28 卷 第 2 期 鞍 山 科 技 大 学 学 报 Vol . 28 No . 2 2005 年 4 月 Journal of Anshan U niver sit y of Science and Technology Apr . ,2005 向 P E 文件中插入可执行代码的研究 胡 　珊 (鞍山科技大学 计算机科学与工程学院 ,辽宁 鞍山　114044) 摘 　要 :根据 Win32 PE 文件的结构特征 ,实现了两种不同的向 PE 文件中插入可执行代码的方法 : ( 1) 在本 节中的未用空间中插入代码 ; (2) 添加新的节 。指出在编写要添加的代码的过程中 ,要注意插入代码的变量 地址的重定位和代码返回改动态获取 A PI 入口地址等问题 。 关键词 :可移植的执行体文件 ;虚拟地址 ;相对虚拟地址 ;原始地址 中图分类号 : TP3 167 　文献标识码 :A 　文章编号 :167244 10 (2005) 020 11905 1 　P E 文件结构介绍 ( ) P E 意为可移植 的执行体 Port able execut able , 是 Win32 环境 自身所带 的执行体文件格式 。 Port able Execut able 意味着此文件格式是跨 Win32 平台的; 即使 Window s 运行在非 Intel 的 CPU 上 ,任 何 Win32 平台的 P E 装载器都能识别和使用该文件格式 。在 P E 文件中 ,可执行代码 、已初始化的数 据 、文件资源和重定位信息等数据被按照属性的不同而放到不同的节中。掌握了 P E 文件的结构就可 以根据需要来实现对 P E 文件数据的修改 。比如 ,根据需要向可执行文件中加进特定的可执行代码来 实现自己的目的。 　　图 1 是 P E 文件结构的总体层次分布 。所有 Msdos header ( IMA GE DOS HEAD ER 结构 P E 文件必须 以一个简单 的 DO S MZ header 开 Dos stub 始 ,在偏移 0 处有 DO S 下可执行文件的“MZ 标 志”。有了它 ,一旦程序在 DO S 环境下执行 ,DO S P E 头 P E 标志 ( IMA G 就能识别出这是有效的执行体 , 然后运行紧随 P E 文件头 E N T ( IMA GE F IL E HEAD ER 结构) MZ header 之后的 DO S st ub 。DO S st ub 实际是 HEAD E P E 可选头 个有效的可执行体 。在不支持 P E 文件格式的操 R 结构) ( IMA GE OP TIONAL HEAD ER 结构