C2-2PE文件格式之一.pptVIP

test.exe的节表 * Characteristics-节属性 0 这个块包含代码。置位 0 这个块包含已初始化的数据。 0 这个块包含未初始化的数据（如 .bss 块） 0 这个块包含注释或其它的信息。 0 这个块的内容不应放进最终的EXE文件中。 0 这个块可以被丢弃，因为一旦它被载入，其进程就不需要它。最通常的可丢弃块是基本重定位块（ .reloc ）。 0 这个块是可共享的。 0 这个块是可执行的。 0 这个块是可读的。 0 这个块是可写的。 * （5）节 可执行文件的核心部分。 PE文件一般都有多个“节”，比较常见的有： 代码节 数据节 引入函数节 资源节等(如图标) 引出函数节（DLL文件中常见） 重定位节（DLL文件中常见） * 本讲的内容提纲 1?PE文件及其表现形式 2?PE文件格式与恶意软件的关系 3 PE文件格式总体结构 4 代码节与数据节 5 引入函数节：PE文件的引入函数机制 6?引出函数节：DLL文件的函数引出机制 * 4.1 代码节 * 代码节 代码节一般名为.text或CODE，该节含有程序的可执行代码。 每个PE文件都有代码节 * 内存中的代码节 * 4.2 已初始化的数据节 这个节一般取名为.data或DATA 已初始化的数据节中放的是在编译时刻就已确定的数据。 如test.exe中的字符串“PE入口点测试1：进入第一入口位！”。 * .data节 * 4.3未初始化的数据节 节名称一般叫.bbs。 这个节里放有未初始化的全局变量和静态变量。 例如“static?int?k;” * * hehe 软件安全 C2-2 PE文件格式 * 本讲的内容提纲 1?PE文件及其表现形式 2?PE文件格式与恶意软件的关系 3 PE文件格式总体结构 4 代码节与数据节 5 引入函数节：PE文件的引入函数机制 6?引出函数节：DLL文件的函数引出机制 * 1?PE文件及其表现形式 可移植的可执行文件（PE，Portable Executable File），Win32平台可执行文件使用的一种格式。 其他EXE文件格式： DOS：MZ格式 Windows 3.0/3.1： NE，New Executable 16位Windows可执行文件格式 * 可执行程序的不同形态（以QQ为例） 用户眼中的QQ. * 可执行程序的不同形态（以QQ为例） 本质上 * 本讲的内容提纲 1?PE文件及其表现形式 2?PE文件格式与恶意软件的关系 3 PE文件格式总体结构 4 代码节与数据节 5 引入函数节：PE文件的引入函数机制 6?引出函数节：DLL文件的函数引出机制 * 2?PE文件格式与恶意软件的关系 何为文件感染？［或控制权获取］ 使目标PE文件具备［或启动］病毒功能［或目标程序］ 但不破坏目标PE文件原有功能和外在形态（如图标）等 病毒代码如何与目标PE文件融为一体？ 代码植入、 控制权获取、 及图标更改等。 * 本讲的内容提纲 1?PE文件及其表现形式 2?PE文件格式与恶意软件的关系 3 PE文件格式总体结构 4 代码节与数据节 5 引入函数节：PE文件的引入函数机制 6?引出函数节：DLL文件的函数引出机制 * 3 PE文件格式总体结构 test.exe * 看雪学院工具集： * PE文件格式查看工具1-PEView PEView：可按照PE文件格式对目标文件的各字段进行详细解析。 * PE文件格式查看工具2-Stud_PE Stud_PE：可按照PE文件格式对目标文件的各字段进行详细解析。 * PE程序调试工具-Ollydbg Ollydbg：可跟踪目标程序的执行过程，属于用户态调试工具。 * 16进制文件编辑工具-UltraEdit UltraEdit：可对目标文件进行16进制查看和修改。 * 3 PE文件格式总体结构 1.DOS MZ header 2.DOS stub 3.PE header 4.Section table 5-1 Section 1 5-2 Section 2 Section ... 5.3 Section n * （1） MS-DOS MZ文件头(0x40)+（2）DOS Stub 作用： 定位PE文件头开始位置，也可用于PE文件合法性检测 DOS下运行该程序时，将提示用户：“This Program cannot be run in DOS mode”！ MZ文件头(0x40) DOS Stub * 3C处的值：000000B0 指向PE文件头开