《杀不死的秘密》PDF黑客教程
29.8828MB / 电脑教程
《杀不死的秘密》PDF黑客教程
------------------------------------------------------------------------
一、PE结构简单介绍
PE究竟是什么,通俗的说,PE是一种格式。PE格式,是微软Win32环境可执行文件的标准格式(所谓可执行文件不光是.exe文件,还包括.DLL/.VXD/.SYS/.VDM等)。PE就是Portable Executable的缩写。Portable是指对于不同的Windows版本和不同的CPU类型上PE文件的格式是一样的,当然CPU不一样了,CPU指令的二进制编码是不一样的,只是文件中各种东西的布局是一样的。
二、PE文件头
三、区段表和区段
区段表是由一个名为IMAGE_SECTION_HEADER的结构体定义的。
四、输出表和输入表
输出表又被称为“导出表”,当PE文件被执行的时候,windows装载器将文件装入内存并将输入表中登记的DLL文件一并装入,再根据DLL文件中的函数输出信息对被执行文件的IAT进行修正。一般来说,EXE文件不存在输出表,DLL文件大部分都包含输出表,不过这不是绝对的。
输入表是PE文件结构中不可或缺的部分,输入表也称之为“导入表”。DLL格式的文件,它们是“动态链接库文件”,这些文件中有很多的导入函数,这些函数不会直接被执行,当一个程序(EXE)动行时,导入函数是被程序调用执行的,其执行的代码是不在主程序(EXE)中的一小部分函数,其真正的代码却在DLL文件中。输入表就相当于EXE文件与DLL文件沟通的钥匙,形象的可以比喻成两个城市之间交流的高速公路,所有的导入函数信息都会写入输入表中,在PE文件映射到内存后,windows将相应的DLL文件装入,EXE文件通过“输入表”找到相应的DLL中的导入函数,从而完成程序的正常运行,这一动态链接的过程都是由“输入表”参与的。
五、加壳免杀
从PE结构入手的免杀方法主要有三种,分别是加壳免杀,加花免杀和修改特征码免杀。