老鸟讲逆向分析-完整.doc

黑客老鸟讲逆向分析:什么是pe文件http://netsecurity./ 2008-02-2514:18 子明  我要评论(0)【专家特稿】讲到逆向,更多的人都是考虑到既然是逆向那就应该反着来推或者相反,其实则不然,这里我们要讲的是为了更深入的研究windows编写机制,更好的研究他们的安全,谁让微软这么保守虽然曾经流出过windows的部分代码,但是还是有更多的秘密值得我们去深挖,每天都有新的发现,做为逆向分析的第一步,我们首先来学****下什么是pe文件?针对pe的认识PE是PortableExecutableFileFormat(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。Pe的文件格式PE("portableexecutable")文件格式是针对MSwindowsNT,windows95andwin32s的可执行二进制代码(DLLsandprograms)。在windowsNT内,驱动程序也是这个格式,也可以用于对象文件和库。这个格式是Microsoft设计的,并在1993经过TIS(toolinterfacestandard)委员会(Microsoft,Intel,Borland,,IBM等)标准化。monobjectfileformat"格式。Pe格式结构图以上就是逆向分析的第一课程,有关pe的认识。下面我们接着将软件的保护甲——壳。【独家特稿,转载请注明出处及作者!】【相关文章】黑客老鸟讲逆向分析:什么是壳及壳的加载过程http://netsecurity./ 2008-02-2514:27 子明  我要评论(0)【专家特稿】上节课程我主要介绍了什么是pe,本次课程我们主要来讲一下壳,这也是破解软件的必修课程,也是逆向分析里面的必修功课。在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“壳”了。壳分为私密壳和压缩壳。壳的示意图壳的加载过程1)获取壳所需要使用的API地址如果用PE编辑工具查看加壳后的文件,会发现未加壳的文件和加壳后的文件的输入表不一样,加壳后的输入表一般所引入的DLL和API函数很少,。壳实际上还需要其他的API函数来完成它的工作,为了隐藏这些API,它一般只在壳的代码中用显式链接方式动态加载这些API函数。2)解密原程序的各个区块(Section)的数据壳出于保护原程序代码和数据的目的,一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密,以让程序能正常运行。壳一般是按区块加密的,那么在解密时也按区块解密,并且把解密的区块数据按照区块的定义放在合适的内存位置。如果加壳时用到了压缩技术,那么在解密之前还有一道工序,就是解压缩。这也是一些壳的特色之一,比如说原来的程序文件未加壳时1~2M大小,加壳后反而只有几百K。3)重定位文件执行时将被映像到指定内存地址中,这个初始内存地址称为基地址(ImageBase)。对于EXE的程序文件来说,Windows系统会尽量满足。例如某EXE文件的基地址为0x400000,而运行时Windows系统提供给程序的基地址也同样是0x400000。在这种情况下就不需要进行地址“重定位”了。由于不需要对EXE文件进行“重定位”,所以加壳软件把原程序文件中用于保存重定位信息的区块干脆也删除了,这样使得加壳后的文件更加小巧。有些工具提供“WipeReloc”的功能,其实就是这个作用。不过对于DLL的动态链接库文件来说,Windows系统没有办法保证每一次DLL运行时都提供相同的基地址。这样“重定位”就很重要了,此时壳中也需要提供进行“重定位”的代码,否则原程序中的代码是无法正常运行起来的。从这点来说,加壳的DLL比加壳的EXE更难修正。4)HOOK-API程序文件中的输入表的作用是让Windows系统在程序运行时提供API的实际地址给程序使用。在程序的第一行代码执行之前,Windows系统就完成了这个工作。壳一般都修改了原程序文件的输入表,然后自己模仿Windows系统的工作来填充输入表中相关的数据。在填充过程中,外壳就可填充HOOK-API代码的地址,这样就可间接地获得程序的控制权。5)跳转到程序原入口点(OEP)从这个时候起壳就把控制权交还给原程序了,一般的壳在这里会有明显的一个“分界线”。但现在的猛壳己没这界限了,壳里有肉,肉里有壳。一般壳的加载过程如图所示加壳软件介绍加壳软件按照其加壳目的和作用,可分为两类:一是压缩(Packers),二是保护(Protectors)。压缩这类壳主要