版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Pe文件实现信息隐藏
冯绍东
主要内容:PE文件结构
原理
实现
上述算法的一点改进
小结
一PE文件结构
PE文件框架构成
DOSMZheader
DOSstub
PEheader
Sectiontable
Section1
Section2
Section...
SectionnPE文件结构的总体层次分布。
DOSMZheader
DOSstub所有PE文件(甚至32位的DLLs)必须以一个简单的DOSMZheader开始,在偏移0处有DOS下可执行文件的“MZ标志”,有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZheader之后的DOSstub。DOSstub实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串"ThisprogramcannotruninDOSmode"或者程序员可根据自己的意图实现完整的DOS代码。通常DOSstub由汇编器/编译器自动生成,对我们的用处不是很大,它简单调用中断21h服务9来显示字符串"ThisprogramcannotruninDOSmode"。
节表(Section):typedef
struct_IMAGE_SECTION_HEADER{
BYTE
Name[IMAGE_SIZEOF_SHORT_NAME];//节表名称,如“.text”
union{
DWORD
PhysicalAddress;//物理地址
DWORD
VirtualSize;//真实长度
}Misc;
DWORD
VirtualAddress
;//RVA
DWORD
SizeOfRawData;//物理长度
DWORD
PointerToRawData;//节基于文件的偏移量
DWORD
PointerToRelocations;//重定位的偏移
DWORD
PointerToLinenumbers;//行号表的偏移
WORD
NumberOfRelocations;//重定位项数目
WORD
NumberOfLinenumbers;//行号表的数目
DWORD
Characteristics;//节属性
}
可用空间=SizeOfRawData(物理长度)-VirtualSize(真实长度)二原理
(1) PE文件由于使用高级语言编写的,存在大量的冗余,我们需要做的是在不影响程序执行的基础上把我们的资料存放到那些程序没用到的空间。我们可在上边的节表中发现SizeOfRawData,VirtualSize,一个是物理长度,一个是实际长。SizeOfRawData-VirtualSize就是我们可利用的空间。我们只要找到这段空间的起始地址就行了。而PointerToRawData就是我们要的,这样问题都解决了。剩下的只是编程实现了。另外,除了段空间可利用外,文件头也有一大段的空间可用,CIH病毒就是利用它隐藏自己的。 为了加强隐密性,我们需要把VirtualSize的值改为VirtualSize+加入该段的长度。而这会导致后来还原不回来,所以要在文件中加入一段特殊的字符串,这样在还原时根据该字符串得到隐藏资料的起点。在程序中特殊字符串即用户输入的密码。这样不知道密码者就不容易获得其中隐藏资料。原理(2)
段隐藏空间段程序占用空间可利用空间段首地址PointerToRawData真实长度VirtualSize物理长度SizeOfRawData原理(3)
PE文件头隐藏空间PE文件头第一段的PointerToRawData
DOSMZheader
DOSstub
PEheader
Sectiontable
可利用空间(大约3kb,CIH病毒利用此空间)三实现
首先获得pe文件头的信息获得段的信息写文件,实现信息隐藏获得pe文件头的信息Voidgetpeheader(CStringfilename){
CFile
cf;
cf.Open(filename,CFile::modeRead);
cf.ReadHuge(&dos_head,sizeof(IMAGE_DOS_HEADER)); cf.Seek(dos_head.e_lfanew,0);
cf.ReadHuge(&signature,sizeof(DWORD));
cf.ReadHuge(&_head,sizeof(IMAGE_FILE_HEADER));
cf.ReadHuge(&opt_head,sizeof(IMAGE_OPTIONAL_HEADER));
cf.Close();}获得段的信息Voidgetsection(Cstringfilename){
CFile
cf;
cf.Open(filename,CFile::modeRead);
longsecpos= sizeof(IMAGE_DOS_HEADER)+dos_head.e_lfanew+ sizeof(DWORD)+sizeof(IMAGE_FILE_HEADER) +sizeof(IMAGE_OPTIONAL_HEADER); cf.Seek(secpos,0); for(intI=0;I<_head.NumberOfSections;I++)
cf.ReadHuge(§ion_header[I],sizeof(IMAGE_OPTION AL_HEADER));
cf.Close();}程序中段的总数段表位置写文件,实现信息隐藏Voidwritefile(Cstringfilename,intsection){ CFile
cf; cf.Open(filename,CFile::modeWrite); if((section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize)<=0) { cf.Close(); return; } cf.Seek(section_header[section].PointerToRawData+ section_header[section].VirtualSize,0); longI=0; charch; while(I<section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize) { if((ch=mygetch()))cf.WriteHuge(&ch,1); I++; } cf.Close();}四上述算法的一点改进
为了增强保密性,最好在隐藏资料前对资料进行加密,如使用rijnaedl等算法为了能检测出,资料是否被修改,可以采取校验位方法详细做法参看程序源
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024至2030年中国限位衬垫数据监测研究报告
- 2024年豆类生产项目综合评估报告
- 2024至2030年中国蛇龙珠葡萄汁原汁行业投资前景及策略咨询研究报告
- 2024至2030年中国直身玻璃奶瓶行业投资前景及策略咨询研究报告
- 2024至2030年中国水平定向钻孔机数据监测研究报告
- 2024至2030年中国有色金属合金材料数据监测研究报告
- 2024至2030年中国建筑安全功能膜数据监测研究报告
- 2024至2030年中国圣诞玩具数据监测研究报告
- 【小学语文课件】走进信息世界(人教新课标)课件
- 内蒙古巴彦淖尔市(2024年-2025年小学五年级语文)统编版小升初模拟(下学期)试卷及答案
- 长春工程学院《西方文明史》2023-2024学年第一学期期末试卷
- 8.1 国家好 大家才会好(教学课件)-八年级道德与法治上册同步备课系列(统编版)
- 2024-2030年中国燃气发电行业发展前景预测规划分析报告
- 2024年辅警招考时事政治考题及答案(168题)
- 2024年“国际档案日”档案知识竞赛题目和答案
- 2024年广西普法云平台考试答案
- 2023-2024学年广东省深圳市福田区八年级(上)期末英语试卷
- 2024年动迁房购买合同范本
- 2024年军事理论知识全册复习题库及答案
- 铁路设备售后服务方案
- 江苏省南京市玄武区2024-2025学年七年级上学期期中考试英语试卷
评论
0/150
提交评论