基于增量链接的PE文件信息隐藏技术研究.docxVIP

基于增量链接

的ＰＥ文件信息隐藏技术研究

引言

为了提高链接速度和方便程序调试修改，大多数编译器

都提供了增量链接（ＩｎｃｒｅｍｅｎｔａｌＬｉｎｋｉｎｇ）特性［１－５］。链接器不是将所有函数代码都紧挨着放在一起，而是在函数指令代码之间预留一定数量的填充字节（Ｐａｄｄｉｎｇ），这样，在程序调试

过程中，在函数中增加部分指令就有了存储空间。只要改动

不大，没有超过预留填充字节的范围，链接器就不需要全部重新编译，只需要编译所修改的函数即可，这样就可以大大提高链接速度。本文将讨论利用编译器的增量链接特性，将信息隐藏在两个相邻函数指令代码之间的填充字节中。这样，隐藏的信息与指令代码结合在一起，分散隐藏在函数指令代码之间的填充字节中，有效地提高了算法的隐蔽性和抗攻击性。

增量链接的工作原理

在编写程序过程中，经常会出现这样一种情况，程序员写

了两个函数ｆｕｎ１（）和ｆｕｎ２（），这两个函数在源代码中的位置是相邻的，假设函数ｆｕｎ１（）的代码从０ｘ４００５００开始存放，长度为０ｘ２００个字节，而函数ｆｕｎ２（）的代码紧接着保存在

０ｘ４００７００处。现在需要修改ｆｕｎ１（）函数，添加了０ｘ２００个字节的指令代码，然后编译了新的代码。函数ｆｕｎ１（）的指令代

码的长度增加了０ｘ２００个字节，现在需要用０ｘ２００字节来保存新增加的代码，链接器怎么进行处理呢？常规的方