Pe文件實現信息隱藏

馮紹東

主要內容：PE文件結構

原理

實現

上述算法的一點改進

小結

一PE文件結構

PE文件框架構成

DOSMZheader

DOSstub

PEheader

Sectiontable

Section1

Section2

Section...

SectionnPE文件結構的總體層次分布。

DOSMZheader

DOSstub所有PE文件(甚至32位的DLLs)必須以一個簡單的DOSMZheader開始，在偏移0處有DOS下可執行文件的“MZ標志”，有了它，一旦程序在DOS下執行，DOS就能識別出這是有效的執行體，然后運行緊隨MZheader之后的DOSstub。DOSstub實際上是個有效的EXE，在不支持PE文件格式的操作系統中，它將簡單顯示一個錯誤提示，類似于字符串"ThisprogramcannotruninDOSmode"或者程序員可根據自己的意圖實現完整的DOS代碼。通常DOSstub由匯編器/編譯器自動生成，對我們的用處不是很大，它簡單調用中斷21h服務9來顯示字符串"ThisprogramcannotruninDOSmode"。

節表(Section):typedef

struct_IMAGE_SECTION_HEADER{

BYTE

Name[IMAGE_SIZEOF_SHORT_NAME];//節表名稱,如“.text”

union{

DWORD

PhysicalAddress;//物理地址

DWORD

VirtualSize;//真實長度

}Misc;

DWORD

VirtualAddress

;//RVA

DWORD

SizeOfRawData;//物理長度

DWORD

PointerToRawData;//節基于文件的偏移量

DWORD

PointerToRelocations;//重定位的偏移

DWORD

PointerToLinenumbers;//行號表的偏移

WORD

NumberOfRelocations;//重定位項數目

WORD

NumberOfLinenumbers;//行號表的數目

DWORD

Characteristics;//節屬性

}

可用空間=SizeOfRawData（物理長度）-VirtualSize（真實長度）二原理

(1) PE文件由于使用高級語言編寫的，存在大量的冗余，我們需要做的是在不影響程序執行的基礎上把我們的資料存放到那些程序沒用到的空間。我們可在上邊的節表中發現SizeOfRawData，VirtualSize，一個是物理長度，一個是實際長。SizeOfRawData-VirtualSize就是我們可利用的空間。我們只要找到這段空間的起始地址就行了。而PointerToRawData就是我們要的，這樣問題都解決了。剩下的只是編程實現了。另外，除了段空間可利用外，文件頭也有一大段的空間可用，CIH病毒就是利用它隱藏自己的。 為了加強隱密性，我們需要把VirtualSize的值改為VirtualSize+加入該段的長度。而這會導致后來還原不回來，所以要在文件中加入一段特殊的字符串，這樣在還原時根據該字符串得到隱藏資料的起點。在程序中特殊字符串即用戶輸入的密碼。這樣不知道密碼者就不容易獲得其中隱藏資料。原理（2）

段隱藏空間段程序占用空間可利用空間段首地址PointerToRawData真實長度VirtualSize物理長度SizeOfRawData原理(3)

PE文件頭隱藏空間PE文件頭第一段的PointerToRawData

DOSMZheader

DOSstub

PEheader

Sectiontable

可利用空間（大約3kb,CIH病毒利用此空間)三實現

首先獲得pe文件頭的信息獲得段的信息寫文件，實現信息隱藏獲得pe文件頭的信息Voidgetpeheader(CStringfilename){

CFile

cf;

cf.Open(filename,CFile::modeRead);

cf.ReadHuge(&dos_head,sizeof(IMAGE_DOS_HEADER)); cf.Seek(dos_head.e_lfanew,0);

cf.ReadHuge(&signature,sizeof(DWORD));

cf.ReadHuge(&_head,sizeof(IMAGE_FILE_HEADER));

cf.ReadHuge(&opt_head,sizeof(IMAGE_OPTIONAL_HEADER));

cf.Close();}獲得段的信息Voidgetsection(Cstringfilename){

CFile

cf;

cf.Open(filename,CFile::modeRead);

longsecpos= sizeof(IMAGE_DOS_HEADER)+dos_head.e_lfanew+ sizeof(DWORD)+sizeof(IMAGE_FILE_HEADER) +sizeof(IMAGE_OPTIONAL_HEADER); cf.Seek(secpos,0); for(intI=0;I<_head.NumberOfSections;I++)

cf.ReadHuge(§ion_header[I],sizeof(IMAGE_OPTION AL_HEADER));

cf.Close();}程序中段的總數段表位置寫文件，實現信息隱藏Voidwritefile(Cstringfilename,intsection){ CFile

cf; cf.Open(filename,CFile::modeWrite); if((section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize)<=0) { cf.Close(); return; } cf.Seek(section_header[section].PointerToRawData+ section_header[section].VirtualSize,0); longI=0; charch; while(I<section_header[section].SizeOfRawData- section_header[section].Misc.VirtualSize) { if((ch=mygetch()))cf.WriteHuge(&ch,1); I++; } cf.Close();}四上述算法的一點改進

為了增強保密性,最好在隱藏資料前對資料進行加密,如使用rijnaedl等算法為了能檢測出，資料是否被修改，可以采取校驗位方法詳細做法參看程序源