常用代码分析工具.PDFVIP

第 章 常用代码分析工具 重点提示 初识 PE 格式文件 简述代码分析实战 常见静态分析工具 常见动态分析工具 常见注册表分析工具 本章精粹 破解技术要涉及到的知识非常广泛，要想真正理解运用它也不是一天两天的事情，必须深 入到程序的内部，汲取更多更全面的计算机知识，潜入到破解的第一线，利用静态和动态分析 工具跟踪程序，分析注册表，经常进行破解实战，才能真正锻炼 自己，破解技术才会逐渐有所 提高，同时在破解的过程中感受到学以致用的乐趣。 2.1 初识 PE 格式文件 PE （Portable Executable ，可移植的执行体）是 Win32 环境 自身所带的执行体文件格式，它 的一些特性继承 自Unix 的Coff （Common object file format ）文件格式。 由于 PE 格式文件使用了一个平面地址空间，因此，它将所有代码和数据合并在一起，组 成一个很大的结构。在该文件格式中，文件内容被分割成不同的区块（Section，又称为区段、 ■ 第 节等），块中包含代码或数据，各个块按页边界来对齐，块没有大小限制，是一个连续结构。每 个块都有它自己在内存中的一套属性。 2 章 2.1.1 PE 格式文件概述 PE 文件的真正内容划分成块，称之为 Section （节）。每节是一块拥有共同属性的数据，比 如代码/数据、读/写等。可以把 PE 文件想象成一逻辑磁盘，PE Header 是磁盘的Boot 扇区，而 Section 就是各种文件，每种文件自然就有不同属性如只读、系统、隐藏、文档等。 节的属性 置决定了节的特性和功能。如果想把数据置为只读属性，就可以将该块数据放 入只读的节中，当 PE 装载器映射节 内容时，它会检查相关属性并置为对应内存块为指定属性。 其中每个区块都有不同的名字，这个名字用来表示区块的功能。例如，一个叫.rdata 的区块，表 明它是一个只读区块（常见的区块有：.text、.rada、.data、.idata、.rsrc 等）。 各种块的含义如表 2-1 所示。 表 2-1 常见块的含义 区块名 区块的功能 .text 在编译或汇编结束时的一种块，它的内容全是指令代码 .rada 是运行期只读数据 .data 是初始化的数据块 .idata 包含其他外来 DLL 的函数及数据信息，即输入表 .rsrc 包含模块的全部资源，如图标、菜单、位图等 下面来看一下 PE 文件结构的总体层次分布 要，如图 2-1 所示。 此图是 PE 文件结构的总体层次分布。所有PE 文件 （甚至32 位的 DLL ）必须以一个简单 的DOS MZ header 开始。有了它，一旦程序在 DOS 下执行，DOS 就能识别出这是有效的执行 体，然后运行紧随MZ header 之后的DOS stub 。通常情况下，简单调用中断 21h 服务 9 来显示 字符串“This program cannot run in DOS mode ”，紧跟 DOS stub 的是PE header 。 PE header 是 PE 相关结构 IMAGE_NT_HEADERS 的简称，其中包含了许多PE 装载器用到 的重要域。执行体在支持 PE 文件结构的操作系统中执行时，PE 装载器将从 DOS MZ header 中 找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header 。 PE 文件不是作为单一内存映射文件被装入 内存的。Windows 加载器遍历 PE 文件并决定映 射文件的哪一部分