第三讲 PE文件结构与计算机病毒.pdfVIP

《计算机病毒分析与对抗》第三讲 PE文件结构与计算机病毒 武汉大学计算机学院 彭国军 guojpeng@whu.edu.cn 引言 什么是PE文件？ 了解PE文件结构和了解PE病毒原理有什么 联系？ 课前我们应该思考的问题 计算机病毒如何将自身代码写到PE可执行文 件中并使得感染文件依然能够执行其功能？ PE程序如何从其他DLL引入API函数？ DLL文件如何使其他可执行文件知道自己实现 的各API函数的代码位置？ 传统PE病毒是否可以直接调用API函数？为 什么？如何获取API函数？ 本讲的内容提纲 3.1 PE文件格式总体结构 3.2 MS-DOS MZ文件头+DOS Stub 3.3 PE文件头 3.4 节表 3.5 节 3.1PE文件格式总体结构 DOS MZ header DOS stub PE header Section table Section 1 Section 2 Section ... Section n hello-2.5.exe 3.2MS-DOS MZ文件头(0x40)+DOS Stub MZ文件头(0x40) DOS Stub 3.2.1MS-DOS MZ header MS-DOS头部占据了PE文件的头64个字节 （4*16=64） USHORT e_magic; // 魔数=MZ MZ文件格式创始人，微软资深工程师Mark Zbikowski的 缩写 LONG e_lfanew; //e_lfanew成员用于定位PE头。 该字段位于3CH处，该位置给出了PE文件头部的开始位置。 在本例中，PE文件头部开始位置为0B0H。 3.2.1MS-DOS MZ header typedef struct _IMAGE_DOS_HEADER { // DOS的.EXE头部 USHORT e_magic; // 魔数 USHORT e_cblp; // 文件最后页的字节数 USHORT e_cp; // 文件页数 USHORT e_crlc; // 重定义元素个数 USHORT e_cparhdr; // 头部尺寸，以段落为单位 USHORT e_minalloc; // 所需的最小附加段 USHORT e_maxalloc; // 所需的最大附加段 USHORT e_ss; // 初始的SS值（相对偏移量） USHORT e_sp; // 初始的SP值 USHORT e_csum; // 校验和 USHORT e_ip; // 初始的IP值 USHORT e_cs; // 初始的CS值（相对偏移量） USHORT e_lfarlc; // 重分配表文件地址 USHORT e_ovno; // 覆盖号 USHORT e_res[4]; // 保留字 USHORT e_oemid; // OEM标识符（相对e_oeminfo） USHORT e_oeminfo; // OEM信息 USHORT e_res2[10]; // 保留字 LONG e_lfanew; // 新exe头部的文件地址 } IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER; 3.3 PE header(P78) Pe header 由三部分组成 字串 “PE\0\0” （Signature） 映像文件头（FileHeader） 可选映像头（OptionalHeader） 3.3.1 字串 “PE\0\0” Signature 一d