PE文件插入可执行代码技术探讨

"这篇文章主要探讨了如何向PE文件（Portable Executable）中插入可执行代码，作者胡珊详细介绍了两种不同的方法，并强调了在插入过程中需要注意的变量地址重定位和API入口地址动态获取等问题。PE文件是Win32环境下执行体文件格式，其结构包括多个节，每个节包含不同类型的文件数据。理解PE文件结构对于实现对PE文件的修改至关重要。" PE文件结构的详细解析： PE文件由几个关键部分组成，首先是"DOS Header"，它在文件的起始位置，包含"MZ"标志，使得DOS系统能够识别这个文件。DOS Stub紧随其后，它是一个小的可执行程序，如果在不支持PE格式的操作系统中运行，会显示错误信息。接着是"PE Header"，即IMAGE_NT_HEADERS，它包含了关于PE文件的元数据，如文件格式信息、节表、导出和导入表等。 1. 插入代码的方法一：在本节未用空间中插入 这种方法是利用PE文件中各个节可能存在的未使用空间来添加新的代码。每个节都有预定义的大小，可能只有一部分被实际使用。通过查找这些空闲区域，可以安全地插入代码，但需要确保不破坏已有的数据结构和指令。 2. 插入代码的方法二：添加新的节 如果现有的节没有足够的未用空间，可以创建新的节来存放额外的代码。创建新节涉及到更新PE头的节表，同时需要调整文件和内存映射的大小，以确保新节的正确加载。 在插入代码时，有两个主要问题需要考虑： - 变量地址的重定位：由于PE文件在内存中的地址可能与磁盘上的位置不同，插入的代码中的所有绝对地址引用都需要进行重定位，以适应新的内存布局。这通常涉及修改PE文件的重定位表。 - 代码返回和API入口地址动态获取：为了使插入的代码能够正确运行，需要确保函数调用和返回操作指向正确的地址。特别是当插入的代码依赖于系统API时，必须动态获取API的入口地址，因为这些地址在PE文件加载时可能会变化。 胡珊的文章不仅阐述了这两种插入代码的技术，还提醒了开发者在实现此类操作时需要关注的细节，这对于那些希望对PE文件进行深度修改的程序员来说是非常有价值的指导。