PE文件中嵌入可执行代码方法研究

本文主要探讨了在Windows可执行文件(PE)中插入可执行代码的方法。PE文件，全称为可移植的执行体，是Windows环境中广泛使用的文件格式，其设计目的是确保跨平台兼容性。PE文件结构复杂，包括Ms-DOS头部、PE头、PE标志、PE文件头、PE可选头以及多个节（Section）等部分。 首先，文章介绍了PE文件的基本结构，如图1所示，PE文件以DOS的MZ标志开始，接下来是DOS stub、PE头（包含IMAGE2NT2HEADER结构）和PE文件头（IMAGE2FILE2HEADER结构），这些构成了PE文件的底层框架。每个节用于存储不同的数据，如可执行代码、初始化数据和资源等，且可通过调整节的属性来适应修改需求。 文章的核心内容在于提出两种向PE文件插入可执行代码的方法： 1. 在未使用的空间中插入代码：这种方法适用于那些PE文件中存在未利用的区域。作者强调了在插入代码时需要注意的问题，例如代码中的变量地址需要进行重定位，确保代码在目标位置正确执行。同时，由于PE文件通常会包含重定位信息，所以代码的插入可能会涉及地址的计算和调整。 2. 添加新的节：另一种方法是直接创建新的节来存放代码。这需要对PE文件的节表进行操作，并确保新添加的节不会影响文件的其他部分。代码返回地址的处理也是一个关键点，可能需要动态获取API入口地址，以便于程序正确的调用和执行。 此外，文中还提到了相关的关键词，如可移植执行体文件、虚拟地址、相对虚拟地址和原始地址，这些都是理解PE文件操作时的重要概念。为了确保可执行代码的顺利运行，程序员必须掌握这些概念，以便在编译过程中处理好地址映射和重定位。 本文深入研究了如何在Windows PE文件中插入可执行代码，这对于开发需要定制或修改PE文件的软件工具，以及恶意软件开发者来说，具有重要的实践价值。通过了解PE文件结构和相关技术细节，可以更好地控制和操纵程序的行为，实现各种预期功能。