第3章 传统计算机病毒-补充知识.ppt

《第3章 传统计算机病毒-补充知识.ppt》由会员分享，可在线阅读，更多相关《第3章 传统计算机病毒-补充知识.ppt（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第3章 传统计算机病毒补充知识刘功申 上海交通大学网络空间安全学院推荐参考资料 学习本章前，建议学习并掌握PE可执行文件的结构及运行原理。推荐参考罗云彬编著的Windows环境下32位汇编语言程序设计。64位汇编资料https:/ (1)PE文件格式总体结构 PE（Portable Executable：可移植的执行体）是Win32环境自身所带的可执行文件格式。它的一些特性继承自Unix的Coff(Common Object File Format)文件格式。可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识

2、别和使用该文件格式。当然，移植到不同的CPU上PE执行体必然得有一些改变。除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。因此，研究PE文件格式是我们洞悉Windows结构的良机。PE文件结构总体层次分布DOS MZ headerMZ格式头DOS stubDos桩程序PE headerPE文件头Section table节表Section 1第1个节Section 2第2个节Section n第n个节所有PE文件必须以一个简单的DOS MZ header开始。有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。DOS stub实际上是个有效的EXE，在不支持

3、PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串“该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。PE header是PE相关结构IMAGE_NT_HEADERS的简称，其中包含了许多PE装载器用到的重要域。section table（节表）是节的索引。PE文件的真正内容被划分成块，我们称之为sections（节）。每节是一块拥有共同属性的数据，比如代码/数据、读/写等。把PE文件想象成一逻辑磁盘，PE header是磁盘的boot扇区，而sections就是各种文件，每种文件自然就有不同属性如只读、系统、隐藏、文档等等。其中节表就像目录。值得我们

4、注意的是节的划分是基于各组数据的共同属性而不是逻辑概念。因此，我么不必关心节中类似于data,code或其他的逻辑概念。如果数据和代码拥有相同属性，它们就可以被归入同一个节中。节名称仅仅是个区别不同节的符号而已，类似于data和code等的节名称只为了便于识别，惟有节的属性设置决定了节的特性和功能。如果某块数据想作为只读属性，就可以将该块数据放入属性为只读的节中。装载PE文件的主要步骤 第一，当PE文件被执行，PE装载器检查DOS MZ header里的PE header偏移量。如果找到，则跳转到PE header。第二，PE装载器检查PE header的有效性。如果有效，就跳转到PE hea

5、der的尾部。第三，紧跟PE header的是节表。PE装载器读取其中的节索引信息，并采用文件映射方法将这些节映射到内存，同时附上节表里指定的节属性。第四，PE文件映射入内存后，PE装载器将处理PE文件中类似import table（引入表）逻辑部分。（2）检验PE文件的有效性 什么样的文件是有效的？只要一些关键数据结构有效，我们就认为是有效的PE文件了。这个重要数据结构就是PE header。从编程角度看，PE header实际就是一个IMAGE_NT_HEADERS 结构。IMAGE_NT_HEADERS 结构的定义如下：IMAGE_NT_HEADERS STRUCTSignature d

6、dFileHeader IMAGE_FILE_HEADEROptionalHeader IMAGE_OPTIONAL_HEADER32IMAGE_NT_HEADERS ENDS Signature：该域为PE标记，值为50h,45h,00h,00h（PE00）。IMAGE_DOS_SIGNATURE equ 5A4DhIMAGE_OS2_SIGNATURE equ 454EhIMAGE_OS2_SIGNATURE_LE equ 454ChIMAGE_VXD_SIGNATURE equ 454ChIMAGE_NT_SIGNATURE equ 4550h FileHeader：该结构域包含了关于P

7、E文件物理分布的信息，比如节数目、文件执行机器等。OptionalHeader：该结构域包含了关于PE文件逻辑分布的信息。定位PE header DOSMZ header（IMAGE_DOS_HEADER）包含了指向PE header 的文件偏移量，即e_lfanew。定位步骤为:第一，检验文件头部第一个字的值是否等于IMAGE_DOS_SIGNATURE，是则DOS MZ header有效。第二，一旦证明文件的DOS MZ header有效后，就可用e_lfanew来定位PE header了。第三，比较PE header的第一个字的值是否等于IMAGE_NT_ SIGNATURE。如果前后两

8、个值都匹配，那我们就认为该文件是一个有效的PE文件。（3）文件头（FileHeader）文件头（FileHeader）是IMAGE_NT_HEADERS的一个重要的域。文件头的表示结构为:IMAGE_FILE_HEADER STRUCTMachine WORDNumberOfSections WORDTimeDateStamp ddPointerToSymbolTable ddNumberOfSymbols ddSizeOfOptionalHeader WORDCharacteristics WORDIMAGE_FILE_HEADER ENDS 域名含义Machine该文件运行所要求的CPU。

9、对于Intel平台，该值是IMAGE_FILE_MACHINE_I386(14Ch)。NumberOfSections文件的节数目。如果我们要在文件中增加或删除一个节，就需要修改这个值。TimeDateStamp文件创建日期和时间。要让它保持原样，不要变PointerToSymbolTable用于调试。NumberOfSymbols用于调试。SizeOfOptionalHeader指示紧随本结构之后的OptionalHeader结构大小，必须为有效值。Characteristics关于文件信息的标记，比如文件是exe还是dll。注：节、节表和NumberOfSections的关系节表数组边界确

10、定。NumberOfSections，全标示(4)Optional Header Optional Header是PE header中最后，最大，也是最重要的成员，包含了PE文件的逻辑分布信息。该结构共有31个域。虚拟地址(VAVirtual Address)RVA（Relative Virtual Address，相对虚拟地址）域名含义AddressOfEntryPointPE装载器准备运行的PE文件的第一个指令的RVA。若您要改变整个执行的流程，可以将该值指定到新的RVA，这样新RVA处的指令首先被执行。ImageBasePE文件的优先装载地址。比如，如果该值是400000H，PE装载器将

11、尝试把文件装到虚拟地址空间的400000H处。若该地址区域已被其他模块占用，那PE装载器会选用其他空闲地址。SectionAlignment内存中节对齐的粒度。例如，如果该值是4096(1000H)，那么每节的起始地址必须是4096的倍数。若第一节从401000H开始且大小是10个字节，则下一节必定从402000H开始，即使401000H和402000H之间还有很多空间没被使用。FileAlignment文件中节对齐的粒度。含义类似SectionAlignment。MajorSubsystemVersionMinorSubsystemVersion Win32系统版本。SizeOfImage内

12、存中整个PE映像体的尺寸。它是所有头和节经过节对齐处理后的大小。SizeOfHeaders所有头+节表的大小，也就等于文件尺寸减去文件中所有节的尺寸。可以以此值作为PE文件第一节的文件偏移量。SubsystemNT用来识别PE文件属于哪个子系统。对于大多数Win32程序，只有两类值:Windows GUI 和 Windows CUI(控制台)。DataDirectoryIMAGE_DATA_DIRECTORY 结构数组。每个结构给出一个重要数据结构的RVA，比如引入地址表等。（5）节表(Section Table)Section Table是用来索引节的数组结构，其详细表示为：IMAGE_SI

13、ZEOF_SHORT_NAME equ 8IMAGE_SECTION_HEADER STRUCTName db IMAGE_SIZEOF_SHORT_NAME dup(?)union MiscPhysicalAddress ddVirtualSize ddEndsVirtualAddress ddSizeOfRawData ddPointerToRawData ddPointerToRelocations ddPointerToLinenumbers ddNumberOfRelocations dwNumberOfLinenumbers dwCharacteristics ddIMAGE_SE

14、CTION_HEADER ENDS 域名含义Name节名长不超过8字节。节名仅仅是个标记而已，可以选择任何名字甚至空着也行。节名不是一个ASCII字符串，所以不用null结尾。VirtualAddress本节的RVA。PE装载器将节映射至内存时会读取该值，如果域值是1000H，而PE文件装在地址400000H处，那么本节就被装载到401000H。SizeOfRawData经过文件对齐处理后的节尺寸。该域值代表需映射入内存的字节数。（假设一个文件的文件对齐尺寸是0 x200，如果VirtualSize域指示本节长度是0 x388字节，则本域值为0 x400，表示本节是0 x400字节长）。Poi

15、nterToRawData节基于文件的偏移量。PE装载器通过该值找到节数据在文件中的位置。Characteristics包含标记以指示节属性。节是否含有可执行代码、初始化数据、未初始数据，是否可写、可读等。PE装载器的工作步骤:第一，读取IMAGE_FILE_HEADER的NumberOfSections域，获取文件的节数目；第二，SizeOfHeaders域值作为节表的文件偏移量，并以此定位节表；第三，遍历整个结构数组检查各成员值；第四，对于每个结构，读取PointerToRawData域值并定位到该文件偏移量。然后再读取SizeOfRawData域值来决定映射内存的字节数。将Virtual

16、Address域值加上ImageBase域值等于节起始的虚拟地址。然后就准备把节映射进内存，并根据Characteristics域值设置属性。第五，遍历整个数组，直至所有节都已处理完毕。（6）引入表（Import Table）两个概念：引入函数：是被某模块调用的但又不在调用者模块中的函数，因而命名为Import（引入）函数。引入函数实际位于一个或者更多的DLL里。调用者模块里只保留一些函数信息，包括函数名及其驻留的DLL名。Data Directory：Optional Header最后一个成员就是DataDirectory，它是一个IMAGE_DATA_DIRECTORY结构数组，共有15个

17、成员。Data Directory包含了PE文件中各重要数据结构的位置和尺寸信息。每个成员包含了一个重要数据结构的信息。Data Directory的每个成员都是IMAGE_DATA_DIRECTORY结构类型，其定义如下所示:IMAGE_DATA_DIRECTORY STRUCTVirtualAddress dd /数据结构的相对虚拟地址(RVA)isize dd /VirtualAddress所指向数据结构的字节数IMAGE_DATA_DIRECTORY ENDS个成员序号便移包含信息简介0 96Export symbols导出表1 104Import symbols导入表2 112Res

18、ources资源3 120Exception异常4 128Security安全5 136Base relocation重定位表6 144Debug调试信息7 152Copyright string版权信息8 160GlobalPTR全局指针相对虚拟地址表9 168Thread local storage(TLS)本地线程存储10 172Load configuration装载配置表11 180Bound Import具体资料不祥12 188Import Address Table引入函数的地址（宿主程序中的地址）表13 192Delay Import具体资料不祥14 200COM descri

19、ptorCOM描述子15208Reserved未使用引入表：实际上是一个IMAGE_IMPORT_DESCRIPTOR 结构数组。每个结构包含PE文件引入函数的一个相关DLL的信息。如果该PE文件从10个不同的DLL中引入函数，那么这个数组就有10个成员。该数组以一个全0的成员结尾。IMAGE_IMPORT_DESCRIPTOR结构的定义如下：IMAGE_IMPORT_DESCRIPTOR STRUCTUnionCharacteristics ddOriginalFirstThunk ddEndsTimeDateStamp ddForwarderChain ddName ddFirstThun

20、k ddIMAGE_IMPORT_DESCRIPTOR ENDSOriginalFirstThunk含有指向一个IMAGE_THUNK_DATA结构数组的RVA。FirstThunk与OriginalFirstThunk的结构相同，只是作用不同。IMAGE_THUNK_DATA是一个指向IMAGE_IMPORT_BY_NAME结构的指针。注意IMAGE_THUNK_DATA 包含了指向一个IMAGE_IMPORT_BY_NAME 结构的指针，而不是结构本身。IMAGE_IMPORT_BY_NAME结构保存着一个引入函数的相关信息。IMAGE_IMPORT_BY_NAME 结构的定义：IMAGE

21、_IMPORT_BY_NAME STRUCTHint dw引入函数在原中的索引号Name db引入函数在原中的名字IMAGE_IMPORT_BY_NAME ENDS假设有几个IMAGE_IMPORT_BY_NAME 结构，我们收集起这些结构的RVA(IMAGE_THUNK_DATAs)组成一个数组，并以0结尾，然后再将数组的RVA放入OriginalFirstThunk。FirstThunk与OriginalFirstThunk区别OriginalFirstThunkIMAGE_IMPORT_BY_NAMEFirstThunk|IMAGE_THUNK_DATA-Function 1 Funct

22、ion 2 Function 3 Function 4.Function n Function 1 Address of Function 1 IMAGE_THUNK_DATA-Function 2 Address of Function 2 IMAGE_THUNK_DATA-Function 3 Address of Function 3 IMAGE_THUNK_DATA-Function 4 Address of Function 4.-.IMAGE_THUNK_DATA-Function n Address of Function n 文件执行时用函数名调用：IMAGE_IMPORT_B

23、Y_NAME用序号调用：IMAGE_THUNK_DATA值的低位字指示函数序数，而最高二进制位(MSB)设为1。例如，如果一个函数只由序数引出且其序数是1234H，那么对应该函数的IMAGE_THUNK_DATA值是80001234H。列出某个PE文件的所有引入函数的步骤：第一，校验文件是否是有效的PE。第二，从DOS header 定位到PE header。第三，获取位于OptionalHeader的数据目录（DataDirectory）的地址。第四，转至数据目录的第二个成员提取其VirtualAddress值。第五，利用上值定位第一个IMAGE_IMPORT_DESCRIPTOR结构。第六

24、，检查OriginalFirstThunk值。若不为0，则顺着OriginalFirstThunk里的RVA值转入那个RVA数组。若OriginalFirstThunk为0，就改用FirstThunk值。有些连接器生成PE文件时会置OriginalFirstThunk值为0，这应该算是个bug。不过为了安全起见，我们还是先检查OriginalFirstThunk的值。第七，对于每个数组元素，我们用IMAGE_ORDINAL_FLAG32来检查该元素的最高位。如果该元素值的最高二进位为1，那么函数是由序数引入的，可以从该值的低字节提取序数。如果元素值的最高二进位为0，就可将该值作为RVA转入IM

25、AGE_IMPORT_BY_NAME数组，跳过Hint就是函数名字了。第八，再跳至下一个数组元素提取函数名，一直到数组底部(它以null结尾)。现在我们已遍历完一个DLL的引入函数，接下去处理下一个DLL。第九，即跳转到下一个IMAGE_IMPORT_DESCRIPTOR并处理之。依次循环直到数组结尾(IMAGE_IMPORT_DESCRIPTOR 数组以一个全0域元素结尾)。（7）引出表（Export Table）附加概念：引出函数，数据目录引出表是数据目录的第一个成员，又可称为IMAGE_EXPORT_DIRECTORY。IMAGE_EXPORT_DIRECTORY共有个成员，部分介绍如下

26、：域名含义nName模块的真实名称。该域是必须的，因为文件名可能会改变。这种情况下，PE装载器将使用这个内部名字。nBase基数，（引出序数 nBase）就是函数地址数组的索引值了。NumberOfFunctions模块引出的函数/符号总数。NumberOfNames通过名字引出的函数/符号数目。该值不是模块引出的函数/符号总数，这是由上面的NumberOfFunctions给出。本域可以为0，表示模块可能仅仅通过序数引出。如果模块根本不引出任何函数/符号，那么数据目录中引出表的RVA为0。AddressOfFunctions模块中有一个指向所有函数/符号的RVAs数组，本域就是指向该RVAs

27、数组的RVA。简言之，模块中所有函数的RVAs都保存在一个数组里，本域就指向这个数组的首地址。AddressOfNames类似上个域，模块中有一个指向所有函数名的RVAs数组，本域就是指向该RVAs数组的RVA。AddressOfNameOrdinalsRVA，指向包含上述AddressOfNames数组中相关函数之序数的16位数组。两类输出方式：AddressOfFunctions和NumberOfFunctionsAddressOfNames和NumberOfNamesAddressOfNameOrdinals是用来统一上述两类输出方式的。这就相当于一个别名。它们的关联方式如下：Addre

28、ssOfNamesAddressOfNameOrdinals|RVA of Name 1Index of Name 1RVA of Name 2Index of Name 2RVA of Name 3Index of Name 3RVA of Name 4Index of Name 4.RVA of Name NIndex of Name N根据引出函数名，怎样来获取其地址呢？1.定位到PE header。2.从数据目录读取引出表的虚拟地址。3.定位引出表获取名字数目(NumberOfNames)。4.并行遍历AddressOfNames和AddressOfNameOrdinals指向的数组匹

29、配名字。如果在AddressOfNames 指向的数组中找到匹配名字，从AddressOfNameOrdinals 指向的数组中提取索引值。例如，若发现匹配名字的RVA存放在AddressOfNames 数组的第77个元素，那就提取AddressOfNameOrdinals数组的第77个元素作为索引值。如果遍历完NumberOfNames 个元素，说明当前模块没有所要的名字。5.从AddressOfNameOrdinals数组提取的数值作为AddressOfFunctions数组的索引。也就是说，如果值是5，就必须读取AddressOfFunctions数组的第5个元素，此值就是所要函数的RV

30、A。IMAGE_EXPORT_DIRECTORY结构的nBase成员 nBase是一个基数。（引出序数nBase）就是函数地址数组的索引值了。如果程序员在def文件中设定起始序数号为200，这意味着AddressOfFunctions数组至少有200个元素。即使这前面200个元素并没使用，但它们必须存在。有了nBase，就节约了200个空元素。注意nBase并不影响AddressOfNameOrdinals数组的值。根据函数序数获取函数地址的步骤 1.定位到PE header。2.从数据目录读取引出表的虚拟地址。3.定位引出表获取nBase值。4.减掉nBase值得到指向AddressOfFunctions 数组的索引。5.将该值与NumberOfFunctions作比较，大于等于后者则序数无效。6.通过上面的索引就可以获取AddressOfFunctions 数组中的RVA了。通过名字和序号访问的比较从序数获取函数地址比函数名快捷容易，因为这种方法不需要遍历AddressOfNames和AddressOfNameOrdinals这两个数组。虽然GetProcAddress支持两种调用方式，但是，用序号调用的时候比较复杂（要构造一个特殊的数值）。另外，在管理上，有名字会更好。Any Questions?Thank You!