向ＰＥ文件中插入代码技术的研究.docVIP

向ＰＥ文件中插入代码技术的研究 　　摘要：PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务：把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码；如何用一般方法钩住程序的控制和和重定位插入代码；插入代码如何获取对其有用的windows API函数的地址。向PE文件插入外部代码技术的研究是很有价值的，它对反PE型病毒和软件加壳技术的研究都很有用。 　　关键词：PE文件格式；结构化异常处理；导出表 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044(2008)28-0127-03 　　Research on Injecting your Code to a PE File 　　YANG Jian1, QIN Jing2 　　(1. College of Information Science and Engineering，Shenyang University of Technology ,Shenyang 110178,China;2. College of Information Science and Engineering，Northeastern University, Shenyang 110004,China) 　　Abstract: Portable Executable File Format is a kind of executable file formats of windows operation system. Portable executable file format is introduced in this article, and base tasks to inject your code in a PE file without recompiling source code are demonstrated: Injecting your code to PE files redundant space or adding a new section at the files tail to save your code; How to get control of program generally and Relocation of the code; How to get some necessary windows API entrance address. Code injecting is very useful work, it benefits anti-PE virus and software packing technology. 　　Key words: PE file format; structured exception handling; export directory table 　　1 引言 　　Windows平台是当今最为流行的桌面系统。其可执行文件（普通的用户程序、共享库以及NT系统的驱动文件）采用的是PE（Portable Executable）文件格式。为了研究代码插入技术，那么首先得先理解这种可执行文件的内部结构，但PE文件是一种复杂的文件格式，下面仅作简单的介绍。 　　2 PE文件结构简介 　　PE文件基本结构如图1所示。在PE文件中，代码、已初始化的数据、资源和重定位信息等数据被按照属性不同放到了不同的节中，而每个节的属性和位置等信息用IMAGE_SECTION_HEADER结构来描述，所有的IMAGE_SECTION_HEADER结构组成一个节表，节表数据放在所有节数据的前面。因为各种数据是按照属性放置在节中，不同用途但属性相同的数据（如导入表导出表以及.const段指定的数据）可能被放在同一个节中，所以PE文件用一系列的目录结构IMAGE_DATA_DIRECTORY来分别指明这些关键数据的位置。目录结构组成的数据目录表和其它描述文件属性的数据一起放置在PE文件头中。所有PE文件必须以一个简单的DOS MZ header开始，在偏移0处有DOS下可执行文件的“MZ标志”。有了它，一旦程序在DOS环境下执行，DOS就能识别出这是有效的执行体，然后运行紧随MZ header之后的DOS stub。在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串“This program cannot run in DOS mode”。 　　3 PE文件的代码插入技术 　　代码插入技术包含三个重要的任务：1）把外部代码插入PE文件中；