PE文件头变形技术解析

"PEHdDistortion可执行文件头的变形技术" 本书深入探讨了针对PE（Portable Executable）文件头的变形技术，这是一种用于混淆和保护可执行文件的技术，通常由加密壳或病毒代码使用，以防止常规的PE读写工具正确解析文件。变形技术涉及对文件头的系统性修改，从而改变其原始结构和信息，使得分析和反编译更加困难。 在Windows 2000环境下，PE文件头的识别方式是基础，但随着操作系统版本的升级，识别机制也会有所变化。尽管如此，本书提供的研究方法对于理解PE文件头的基本原理以及变形技术的应用依然有价值，读者可以根据这些方法自行适应更高级的Windows版本。 书中附录摘录自"Microsoft Portable Executable and Common Object File Format Specification"的第八版，选取了与实践密切相关的章节，剔除了理论性较强的内容。这有助于读者快速掌握PE文件头变形的关键点。 本书分为五个主要部分： 1. 首先介绍了可执行文件头变形的基本概念，阐述了为何及如何修改文件头来达到变形目的。 2. 第二部分详细讲解了结构重叠和内置数据的策略，包括结构间的重叠（如MiniPE.exe、PEHeaders与DOSHeader、DataDirectory与ImportTable、SectionTable与ImportTable），以及如何在结构中插入数据，特别是不同类型的可变域的利用。 3. 第三部分探讨了间隙的制造和利用，包括间隙一、间隙三的使用，以及间隙二的利用，这些间隙可以用于隐藏额外的数据或代码。 4. 第四部分讨论了重叠加载和重复加载技术，如重叠加载的基本原理，简单的重复加载，以及如何在满足特定条件的情况下实现多重重复加载。 5. 最后，第五部分介绍了无节表和零充填节表的实现，包括输入表的桥结构，如双桥结构和单桥结构，这些技术旨在进一步混淆PE文件的结构。 通过本书，读者不仅可以了解PE文件头变形的基本原理，还能学习到实际操作中的一系列技巧，这对于安全研究人员、软件逆向工程师以及任何对PE文件格式有深度兴趣的人来说，都是一份宝贵的资源。