Pe文件實現(xiàn)信息隱藏

Pe文件實現(xiàn)信息隱藏

馮紹東

主要內(nèi)容：PE文件結(jié)構(gòu)

原理

實現(xiàn)

上述算法的一點改進(jìn)

小結(jié)

一PE文件結(jié)構(gòu)

PE文件框架構(gòu)成

DOSMZheader

DOSstub

PEheader

Sectiontable

Section1

Section2

Section...

SectionnPE文件結(jié)構(gòu)的總體層次分布。

DOSMZheader

DOSstub所有PE文件(甚至32位的DLLs)必須以一個簡單的DOSMZheader開始，在偏移0處有DOS下可執(zhí)行文件的“MZ標(biāo)志”，有了它，一旦程序在DOS下執(zhí)行，DOS就能識別出這是有效的執(zhí)行體，然后運行緊隨MZheader之后的DOSstub。DOSstub實際上是個有效的EXE，在不支持PE文件格式的操作系統(tǒng)中，它將簡單顯示一個錯誤提示，類似于字符串"ThisprogramcannotruninDOSmode"或者程序員可根據(jù)自己的意圖實現(xiàn)完整的DOS代碼。通常DOSstub由匯編器/編譯器自動生成，對我們的用處不是很大，它簡單調(diào)用中斷21h服務(wù)9來顯示字符串"ThisprogramcannotruninDOSmode"。

節(jié)表(Section):typedef

struct_IMAGE_SECTION_HEADER{

BYTE

Name[IMAGE_SIZEOF_SHORT_NAME];//節(jié)表名稱,如“.text”

union{

DWORD

PhysicalAddress;//物理地址

DWORD

VirtualSize;//真實長度

}Misc;

DWORD

VirtualAddress

;//RVA

DWORD

SizeOfRawData;//物理長度

DWORD

PointerToRawData;//節(jié)基于文件的偏移量

DWORD

PointerToRelocations;//重定位的偏移

DWORD

PointerToLinenumbers;//行號表的偏移

WORD

NumberOfRelocations;//重定位項數(shù)目

WORD

NumberOfLinenumbers;//行號表的數(shù)目

DWORD

Characteristics;//節(jié)屬性

}

可用空間=SizeOfRawData（物理長度）-VirtualSize（真實長度）二原理

(1) PE文件由于使用高級語言編寫的，存在大量的冗余，我們需要做的是在不影響程序執(zhí)行的基礎(chǔ)上把我們的資料存放到那些程序沒用到的空間。我們可在上邊的節(jié)表中發(fā)現(xiàn)SizeOfRawData，VirtualSize，一個是物理長度，一個是實際長。SizeOfRawData-VirtualSize就是我們可利用的空間。我們只要找到這段空間的起始地址就行了。而PointerToRawData就是我們要的，這樣問題都解決了。剩下的只是編程實現(xiàn)了。另外，除了段空間可利用外，文件頭也有一大段的空間可用，CIH病毒就是利用它隱藏自己的。 為了加強隱密性，我們需要把VirtualSize的值改為VirtualSize+加入該段的長度。而這會導(dǎo)致后來還原不回來，所以要在文件中加入一段特殊的字符串，這樣在還原時根據(jù)該字符串得到隱藏資料的起點。在程序中特殊字符串即用戶輸入的密碼。這樣不知道密碼者就不容易獲得其中隱藏資料。原理（2）

段隱藏空間段程序占用空間可利用空間段首地址PointerToRawData真實長度VirtualSize物理長度SizeOfRawData原理(3)

PE文件頭隱藏空間PE文件頭第一段的PointerToRawData

DOSMZheader

DOSstub

PEheader

Sectiontable

可利用空間（大約3kb,CIH病毒利用此空間)三實現(xiàn)

首先獲得pe文件頭的信息獲得段的信息寫文件，實現(xiàn)信息隱藏獲得pe文件頭的信息Voidgetpeheader(CStringfilename){

CFile

cf;

cf.Open(filename,CFile::modeRead);

cf.ReadHuge(&dos_head,sizeof(IMAGE_DOS_HEADER)); cf.Seek(dos_head.e_lfanew,0);

cf.ReadHuge(&signature,sizeof(DWORD));

cf.ReadHuge(&_head,sizeof(IMAGE_FILE_HEADER));

cf.ReadHuge(&opt_head,sizeof(IMAGE_OPTIONAL_HEADER));

cf.Close();}獲得段的信息Voidgetsection(Cstringfilename){

CFile

cf;

cf.Open(filename,CFile::modeRead);

longsecpos= sizeof(IMAGE_DOS_HEADER)+dos_head.e_lfanew+ sizeof(DWORD)+sizeof(IMAGE_FILE_HEADER) +sizeof(IMAGE_OPTIONAL_HEADER); cf.Seek(secpos,0); for(intI=0;I<_head.NumberOfSections;I++)

cf.ReadHuge(§ion_header[I],sizeof(IMAGE_OPTION AL_HEADER));

cf.Close();}程序中段的總數(shù)段表位置寫文件，實現(xiàn)信息隱藏Voidwritefile(Cstringfilename,intsection){ CFile

cf; cf.Open(filename,CFile::modeWrite); if((section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize)<=0) { cf.Close(); return; } cf.Seek(section_header[section].PointerToRawData+ section_header[section].VirtualSize,0); longI=0; charch; while(I<section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize) { if((ch=mygetch()))cf.WriteHuge(&ch,1); I++; } cf.Close();}四上述算法的一點改進(jìn)

為了增強保密性,最好在隱藏資料前對資料進(jìn)行加密,如使用rijnaedl等算法為了能檢測出，資料是否被修改，可以采取校驗位方法詳細(xì)做法參看程序源