32位Windows系统下 PE文件的软件加密解密方法

PE文件格式（Portable Executable File Format）是32位Windows操作系统引入的可执行文件格式．本文介绍了PE文件的格式，对格式中重要的部分及其在Windows操作系统下的装入机制进行了详细的分析。最后提出了用软件对PE可执行文件的加密解密方法。     

在远程进程中注入DLL钩挂IAT的方法

为了安装自定义的函数钩子,可通过钩挂PE文件的导入地址表(IAT)来实现。介绍利用导入表钩挂IAT的2种方法:直接钩挂法和间接钩挂法。用Win32汇编实现2种方法的导入地址表钩子,将DLL注入远程进程中,对钩子模块钩挂IAT的效果进行了测试,结果表明:2种方法都能可靠钩挂IAT。并对钩挂IAT中的一些问题进行了讨论。     

PE文件格式研究及修改

详细介绍PE文件格式,包括文件头、节表、节、资源目录、资源等等。研究如何用对各部分的内容进行读取分析,及对原PE文件的内容进行可行的修改、检验、导入导出等功能。通过修改达到对原有PE文件内容的替换、加密、反修改等。     

向PE文件中插入代码技术的研究

PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务:把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码;如何用一般方法钩住程序的控制和和重定位插入代码;插入代码如何获取对其有用的windowsAPI函数的地址。向PE文件插入外部代码技术的研究是很有价值的,它对反PE型病毒和软件加壳技术的研究都很有用。     

向PE文件中插入代码技术的研究

PE文件格式是Windows操作系统引入的可执行文件格式。论文介绍windows平台下PE文件的基本结构。重点阐述了在不重编译源码的前提下实现代码插入技术所涉及的基本任务：把代码插入到PE文件中可用的空闲空间或者在文件尾部添加一个新的节来插入代码;如何用一般方法钩住程序的控制和和重定位插入代码;插入代码如何获取对其有用的windows API函数的地址。向PE文件插入外部代码技术的研究是很有价值的,它对反PE型病毒和软件加壳技术的研究都很有用。     

PE头结构逆向分析研究

PE文件是Windows操作系统的程序文件,是恶意代码的主要攻击对象之一,PE头是PE文件的重要组成部分。本文描述了一个通过逆向分析方法研究PE头结构的实验。实验中涉及的逆向分析方法以及通过实验总结出的PE头结构对逆向分析和恶意代码研究有积极意义。     

PE文件加密保护技术研究

在深入分析Windows PE(portable executable)文件格式和加载机制的基础上,给出了PE文件加密保护的基本思想,对PE文件加密实现中的重要问题进行了探讨并给出了相应的建议.     

PE文件资源节的信息隐藏研究与方案实现

根据PE文件资源节的结构特点，总结了资源节中存在的四种冗余，并提出了一种新的信息隐藏方案。新方案综合了四种冗余的优势，采用转移冗余空间的方法，把信息分散隐藏在扩展的资源间的冗余中。分析表明，此方案与已有基于PE文件的信息隐藏方法相比，提高了信息隐蔽性和资源节空闲可利用率。     

基于增量链接的PE文件信息隐藏技术研究

增量链接旨在提高编译速度和方便程序调试。通过分析采用增量链接后生成的PE文件的特点,提出了一种基于编译器增量链接特性的信息隐藏算法。该方案将隐秘信息隐藏在两个相邻函数代码之间的填充字节中,使得隐藏的信息与程序指令代码紧密结合在一起,极大地提高了隐蔽性和杭攻击性。实验结果表明:该算法隐藏容量大,隐藏信息后的PE文件的长度不会增加,程序性能不受影响,隐蔽性好。     

基于PE文件冗余的空间多态技术

在传播过程中,越来越多的计算机病毒利用加密、多态、变形等技术来改变自身代码形态,提高自我保护能力,以躲避反病毒软件查杀。然而,传统的多态、变形技术存在体积膨胀、实现复杂等严重缺陷。针对这些问题,通过分析PE文件的框架结构,结合PE文件中存在冗余的特点,提出了空间多态的概念,并详细阐述了空间多态技术的工作原理,设计实现了空间多态引擎,最后进一步分析了空间多态技术的鲁棒性。     

PE文件加壳技术研究与实现

为了维护软件开发者的利益,在软件发布前利用软件保护技术对其进行加密处理已经成为软件开发环节中必不可少的一部分。利用加壳程序对软件加壳就是一种有效的保护软件的方法。常用的加壳程序都会有对应的脱壳程序,不能完全满足软件保护的需求。文章通过分析PE文件结构,研究PE文件的加载机制,设计和实现了一种PE文件加壳程序,实验结果表明其可以有效的实现加壳保护功能。     

浅析PE文件脱壳技术

如今随着大家对知识产权保护的重视,使得对于自己程序的加壳保护也变得越来越普遍。除此之外,这一技术也被广泛用于病毒和木马之中,使其不易被杀毒软件查杀。其中,PE文件的加壳尤为常见,若想对其进一步的研究,脱壳是必不可少的。本文首先介绍了PE文件结构和现阶段的加壳技术,其次阐述了脱壳原理和常见方法。     

PE文件动态加壳技术的研究与实现

对可执行文件加壳是保护软件的一种有效方法。但常用的加壳软件采用的是一种静态加壳技术,所有被加壳后的可执行文件都具有部分相同的代码,这样就增加了软件被破解的可能性,不能完全满足PE文件保护的需求。针对这一不足,在分析PE文件格式和加载机制的基础上,提出PE文件动态加壳的思想,设计和实现了一种PE文件动态加壳软件。试验结果表明其可以有效地提高PE文件的自我保护能力。     

基于导入表迁移的PE文件信息隐藏技术研究

在分析PE文件导入表结构的基础上,利用Windows加载器的工作原理和PE文件导入表存储位置不确定性的特点,提出了一种迁移PE文件导入表并将信息隐藏在PE文件原导入表位置的信息隐藏算法。理论分析与实验结果表明,该算法较好地弥补了传统PE文件信息隐藏算法中隐藏信息过于集中、交换PE文件导入表数据结构元素将破坏隐藏信息的不足,提高了隐蔽性和抗攻击性。     

一种基于信息熵的PE文件加壳检测方法

病毒文件经常加壳且壳的种类繁多,壳的特征经常变化。导致现有的基于特征库的壳检测软件经常失效,不能判断出一个文件是否加壳。提出一种基于信息熵的文件加壳检测算法,可以在壳特征经常变化的情况下,对文件是否加壳做出有效的判断。     

基于PE文件无容量限制的信息隐藏技术研究

分析了现有的基于PE文件信息隐藏技术及其不足,提出一种以扩充.text节达到无容量限制的信息隐藏方案。通过对嵌入的信息进行加密、完整性校验、代码伪装、混合原代码等预处理,再根据预处理后的信息大小扩充.text节,并调整随后的各个节以及输入表的位置,以及PE头的各个相应标志的值,保证嵌入信息后的PE文件仍然能正常执行。实验表明,该方案不仅能达到无容量限制的信息隐藏,而且具有一定的隐蔽性和鲁棒性。     

Windows下两种API钩挂技术的研究与实现

详细阐述了两种API钩挂技术IAT(import address table) Hook和Inline Hook的基本原理,给出了各自的实现方法.通过实验,指出IAT Hook在文件操作监控时存在的不稳定现象,比如explorer.exe错误.提出用基于Inline Hook的Detours技术弥补IAT Hook的缺陷,并给出了实现方法.实验结果表明,该方法能有效实现稳定可靠的API钩挂,Inline Hook是一种比较好的API钩挂技术.     

一种基于PE文件的信息隐藏方法的研究与实现

通过研究PE文件的格式,分析了目前存在的冗余空间进行信息隐藏的不足,利用PE文件资源结构提出一种基于PE文件的信息隐藏方法,通过将信息隐藏于PE文件资源节中,隐藏后PE文件的大小没有改变,而且也不破坏原PE文件的执行,最终达到将信息分散隐藏的目的,提高信息的隐蔽性.     

抗相似性攻击的PE文件软件水印的研究

本文从一个新的角度提出了软件水印方案,将PE文件作为软件水印的载体;在详细分析PE文件结构和水印注入的原理后,给出了基于PE文件的水印注入方案。水印信号分散在所选PE文件的区块内,对水印加密后,根据每个区块的比特特点进行编码后再注入,对其实验,判定具有较强的鲁棒性,能够在一定程度上抵御相似性攻击等多种攻击手段。     

NTFS文件系统下PE文件的防拷贝保护

在NTFS文件系统中,每个文件或目录都有一个唯一对应的文件记录号,利用目录和文件记录号(链)作为一种加密密码,可用于PE文件的防拷贝保护.用Win32汇编语言,编程实现了目录和文件的文件记录号(链)的查找,PE文件的加密保护,在Windows XP环境下进行了测试,效果良好.