Windows PE權(quán)威指南：剖析Windows PE文件格式的原理及編程技術(shù)

前言
第一部分　pe的原理和基礎(chǔ)

第1章　windows pe 開發(fā)環(huán)境
1.1　開發(fā)語言masm32
1.1.1　設(shè)置開發(fā)環(huán)境
1.1.2　開發(fā)第一個(gè)源程序helloworld.asm
1.1.3　運(yùn)行helloworld.exe
1.2　調(diào)試軟件ollydbg
1.2.1　調(diào)試helloworld.exe
1.2.2　修改exe文件字節(jié)碼
1.3　十六進(jìn)制編輯軟件flexhex
1.4　破解實(shí)例：u盤監(jiān)控器
1.5　初識pe文件
1.6　小結(jié)

第2章　三個(gè)小工具的編寫
2.1　構(gòu)造基本窗口程序
2.1.1　構(gòu)造窗口界面
2.1.2　編寫相關(guān)的資源文件
2.1.3　通用程序框架的實(shí)現(xiàn)
.2.2　pedump的實(shí)現(xiàn)
2.2.1　編程思路
2.2.2　pedump編碼
2.2.3　pedump代碼中的數(shù)據(jù)結(jié)構(gòu)
2.2.4　運(yùn)行pedump
2.3　pecomp的實(shí)現(xiàn)
2.3.1　編程思路
2.3.2　定義資源文件
2.3.3　pecomp編碼
2.3.4　運(yùn)行pecomp
2.4　peinfo的實(shí)現(xiàn)
2.4.1　編程思路
2.4.2　peinfo編碼
2.4.3　運(yùn)行peinfo
2.5　小結(jié)

第3章　pe文件頭
3.1　pe的數(shù)據(jù)組織方式
3.2　與pe有關(guān)的基本概念
3.2.1　地址
3.2.2　指針
3.2.3　數(shù)據(jù)目錄
3.2.4　節(jié)
3.2.5　對齊
3.2.6　unicode字符串
3.3　pe文件結(jié)構(gòu)
3.3.1　16位系統(tǒng)下的pe結(jié)構(gòu)
3.3.2　32位系統(tǒng)下的pe結(jié)構(gòu)
3.3.3　程序員眼中的pe結(jié)構(gòu)
3.4　pe文件頭部解析
3.4.1　dos mz頭image_dos_header
3.4.2　pe頭標(biāo)識signature
3.4.3　標(biāo)準(zhǔn)pe頭image_file_header
3.4.4　擴(kuò)展pe頭image_optional_header32
3.4.5　pe頭image_nt_headers
3.4.6　數(shù)據(jù)目錄項(xiàng)image_data_directory
3.4.7　節(jié)表項(xiàng)image_section_header
3.5　數(shù)據(jù)結(jié)構(gòu)字段詳解
3.5.1　pe頭image_nt_header的字段
3.5.2　標(biāo)準(zhǔn)pe頭iamge_file_header的字段
3.5.3　擴(kuò)展pe頭image_optional_header32的字段
3.5.4　數(shù)據(jù)目錄項(xiàng)image_data_directory的字段
3.5.5　節(jié)表項(xiàng)image_section_header的字段
3.5.6　解析helloworld程序的字節(jié)碼
3.6　pe內(nèi)存映像
3.7　pe文件頭編程
3.7.1　rva與foa的轉(zhuǎn)換
3.7.2　數(shù)據(jù)定位
3.7.3　標(biāo)志位操作
3.7.4　pe校驗(yàn)和
3.8　小結(jié)

第4章　導(dǎo)入表
4.1　何謂導(dǎo)入表
4.2　導(dǎo)入函數(shù)
4.2.1　invoke指令分解
4.2.2　導(dǎo)入函數(shù)地址
4.2.3　導(dǎo)入函數(shù)宿主
4.3　pe中的導(dǎo)入表
4.3.1　導(dǎo)入表定位
4.3.2　導(dǎo)入表描述符image_import_descriptor
4.3.3　導(dǎo)入表的雙橋結(jié)構(gòu)
4.3.4　導(dǎo)入函數(shù)地址表
4.3.5　構(gòu)造調(diào)用同一個(gè)dll文件的多個(gè)函數(shù)的導(dǎo)入表
4.4　導(dǎo)入表編程
4.4.1　導(dǎo)入表遍歷的思路
4.4.2　編寫函數(shù)_getimportinfo
4.4.3　運(yùn)行測試
4.5　綁定導(dǎo)入
4.5.1　綁定導(dǎo)入機(jī)制
4.5.2　綁定導(dǎo)入數(shù)據(jù)定位
4.5.3　綁定導(dǎo)入數(shù)據(jù)結(jié)構(gòu)
4.5.4　綁定導(dǎo)入實(shí)例分析
4.6　手工重組導(dǎo)入表
4.6.1　常用注冊表api
4.6.2　構(gòu)造目標(biāo)指令
4.6.3　pe頭部變化
4.6.4　手工重組
4.6.5　程序?qū)崿F(xiàn)
4.6.6　思考：關(guān)于iat的連貫性
4.6.7　思考：關(guān)于導(dǎo)入表的位置
4.7　小結(jié)

第5章　導(dǎo)出表
5.1　導(dǎo)出表的作用
5.1.1　分析動(dòng)態(tài)鏈接庫功能
5.1.2　獲得導(dǎo)出函數(shù)地址
5.2　構(gòu)造含導(dǎo)出表的pe文件
5.2.1　dll源代碼
5.2.2　編寫def文件
5.2.3　編譯和鏈接
5.2.4　編寫頭文件
5.2.5　使用導(dǎo)出函數(shù)
5.3　導(dǎo)出表數(shù)據(jù)結(jié)構(gòu)
5.3.1　導(dǎo)出表定位
5.3.2　導(dǎo)出目錄image_export_directory
5.3.3　導(dǎo)出表實(shí)例分析
5.4　導(dǎo)出表編程
5.4.1　根據(jù)編號查找函數(shù)地址
5.4.2　根據(jù)名字查找函數(shù)地址
5.4.3　遍歷導(dǎo)出表
5.5　導(dǎo)出表的應(yīng)用
5.5.1　導(dǎo)出函數(shù)覆蓋
5.5.2　導(dǎo)出私有函數(shù)
5.6　小結(jié)
第6 章　棧與重定位表
6.1　棧
6.1.1　棧的應(yīng)用場合
6.1.2　call調(diào)用中的棧實(shí)例分析
6.1.3　棧溢出
6.2　代碼重定位
6.2.1　重定位的提出
6.2.2　實(shí)現(xiàn)重定位的方法
6.2.3　重定位編程
6.3　pe文件頭中的重定位表
6.3.1　重定位表定位
6.3.2　重定位表項(xiàng)image_base_relocation
6.3.3　重定位表的結(jié)構(gòu)
6.3.4　遍歷重定位表
6.3.5　重定位表實(shí)例分析
6.4　小結(jié)

第7章　資源表
7.1　資源分類
7.1.1　位圖、光標(biāo)、圖標(biāo)資源
7.1.2　菜單資源
7.1.3　對話框資源
7.1.4　自定義資源
7.2　pe資源表組織
7.2.1　資源表的組織方式
7.2.2　資源表數(shù)據(jù)定位
7.2.3　資源目錄頭image_resource_directory
7.2.4　資源目錄項(xiàng)image_resource_directory_entry
7.2.5　資源數(shù)據(jù)項(xiàng)image_resource_data_entry
7.2.6　三級結(jié)構(gòu)中目錄項(xiàng)的區(qū)別
7.3　資源表遍歷
7.4　pe資源深度解析
7.4.1　資源腳本
7.4.2　使用peinfo分析資源表
7.4.3　菜單資源解析
7.4.4　圖標(biāo)資源解析
7.4.5　圖標(biāo)組資源解析
7.4.6　對話框資源解析
7.5　資源表編程
7.5.1　更改圖標(biāo)實(shí)驗(yàn)
7.5.2　提取程序圖標(biāo)實(shí)例
7.5.3　更改程序圖標(biāo)實(shí)例
7.6　小結(jié)

第8章　延遲加載導(dǎo)入表
8.1　延遲加載導(dǎo)入的概念及其作用
8.1.1　提高應(yīng)用程序加載速度
8.1.2　提高應(yīng)用程序兼容性
8.1.3　提高應(yīng)用程序可整合性
8.2　pe中的延遲加載導(dǎo)入表
8.2.1　延遲加載導(dǎo)入表數(shù)據(jù)定位
8.2.2　延遲加載導(dǎo)入描述符image_delay_import_descriptor
8.2.3　延遲加載導(dǎo)入表實(shí)例分析
8.3　延遲加載導(dǎo)入機(jī)制詳解
8.4　延遲加載導(dǎo)入編程
8.4.1　修改資源文件pe.rc
8.4.2　修改源代碼pe.asm
8.5　關(guān)于延遲加載導(dǎo)入的兩個(gè)問題
8.5.1　異常處理
8.5.2　 dll的卸載
8.6　小結(jié)

第9章　線程局部存儲(chǔ)
9.1　windows進(jìn)程與線程
9.1.1　windows體系結(jié)構(gòu)
9.1.2　進(jìn)程與線程創(chuàng)建
9.1.3　進(jìn)程環(huán)境塊peb
9.1.4　線程環(huán)境塊teb
9.2　什么是線程局部存儲(chǔ)
9.3　動(dòng)態(tài)線程局部存儲(chǔ)
9.3.1　動(dòng)態(tài)tls實(shí)例
9.3.2　獲取索引tlsalloc
9.3.3　按索引取值tlsgetvalue
9.3.4　按索引存儲(chǔ)tlssetvalue
9.3.5　釋放索引tlsfree
9.4　靜態(tài)線程局部存儲(chǔ)
9.4.1　tls定位
9.4.2　tls目錄結(jié)構(gòu)image_tls_directory32
9.4.3　靜態(tài)tls實(shí)例分析
9.4.4　tls回調(diào)函數(shù)
9.4.5　測試靜態(tài)tls下的線程存儲(chǔ)初始化回調(diào)函數(shù)
9.5　小結(jié)

第10章　加載配置信息
10.1　何謂加載配置信息
10.2　windows結(jié)構(gòu)化異常處理
10.2.1　什么是seh
10.2.2　windows異常分類
10.2.3　內(nèi)核模式下的異常處理
10.2.4　用戶模式下的異常處理
10.2.5　windows seh機(jī)制解析
10.2.6　seh編程實(shí)例
10.3　pe中的加載配置信息
10.3.1　加載配置信息定位
10.3.2　加載配置目錄image_load_config_directory
10.3.3　加載配置信息實(shí)例分析
10.4　加載配置編程
10.4.1　程序源代碼分析
10.4.2　為pe添加加載配置信息
10.4.3　運(yùn)行測試
10.4.4　注冊多個(gè)異常處理函數(shù)示例
10.5　小結(jié)

第11章　動(dòng)態(tài)加載技術(shù)
11.1　windows虛擬地址空間分配
11.1.1　用戶態(tài)低2gb空間分配
11.1.2　核心態(tài)高2gb空間分配
11.1.3　helloworld進(jìn)程空間分析
11.2　windows動(dòng)態(tài)庫技術(shù)
11.2.1　 dll靜態(tài)調(diào)用
11.2.2　 dll動(dòng)態(tài)調(diào)用
11.2.3　導(dǎo)出函數(shù)起始地址實(shí)例
11.3　在編程中使用動(dòng)態(tài)加載技術(shù)
11.3.1　獲取kernel32.dll基地址
11.3.2　獲取getprocaddress地址
11.3.3　在代碼中使用獲取的函數(shù)地址編程
11.3.4　動(dòng)態(tài)api技術(shù)編程實(shí)例
11.4　小結(jié)
第二部分　pe進(jìn)階

第12章　pe變形技術(shù)
12.1　變形技術(shù)的分類
12.1.1　結(jié)構(gòu)重疊技術(shù)
12.1.2　空間調(diào)整技術(shù)
12.1.3　數(shù)據(jù)轉(zhuǎn)移技術(shù)
12.1.4　數(shù)據(jù)壓縮技術(shù)
12.2　變形技術(shù)可用的空間
12.2.1　文件頭部未用的字段
12.2.2　大小不固定的數(shù)據(jù)塊
12.2.3　因?qū)R產(chǎn)生的補(bǔ)足空間
12.3　pe文件變形原則
12.3.1　關(guān)于數(shù)據(jù)目錄表
12.3.2　關(guān)于節(jié)表
12.3.3　關(guān)于導(dǎo)入表
12.3.4　關(guān)于程序數(shù)據(jù)
12.3.5　關(guān)于對齊
12.3.6　幾個(gè)關(guān)注的字段
12.4　將pe變小的實(shí)例helloworldpe
12.4.1　源程序helloworld的字節(jié)碼（2560字節(jié)）
12.4.2　目標(biāo)pe文件的字節(jié)碼（432字節(jié)）
12.5　打造目標(biāo)pe的步驟
12.5.1　對文件頭的處理
12.5.2　對代碼段的處理
12.5.3　對導(dǎo)入表的處理
12.5.4　對部分字段值的修正
12.5.5　修改后的文件結(jié)構(gòu)
12.5.6　修改后的文件分析
12.5.7　目標(biāo)文件更小的實(shí)例分析
12.6　小結(jié)

第13章　pe補(bǔ)丁技術(shù)
13.1　動(dòng)態(tài)補(bǔ)丁
13.1.1　進(jìn)程間的通信機(jī)制
13.1.2　讀寫進(jìn)程內(nèi)存
13.1.3　目標(biāo)進(jìn)程枚舉
13.1.4　執(zhí)行遠(yuǎn)程線程
13.2　靜態(tài)補(bǔ)丁
13.2.1　整體替換pe文件
13.2.2　整體替換dll文件
13.2.3　部分修改pe文件
13.3　嵌入補(bǔ)丁程序
13.3.1　嵌入補(bǔ)丁程序框架
13.3.2　嵌入補(bǔ)丁程序編寫規(guī)則
13.3.3　嵌入補(bǔ)丁字節(jié)碼實(shí)例分析
13.4　萬能補(bǔ)丁碼
13.4.1　原理
13.4.2　源代碼
13.4.3　字節(jié)碼
13.4.4　運(yùn)行測試
13.5　小結(jié)

第14章　在pe空閑空間中插入程序
14.1　什么是 pe空閑空間
14.1.1　pe文件中的可用空間
14.1.2　獲取pe文件可用空間的代碼
14.1.3　獲取pe文件可用空間的測試
14.2　添加注冊表啟動(dòng)項(xiàng)的補(bǔ)丁程序?qū)嵗?
14.2.1　補(bǔ)丁程序的源代碼
14.2.2　補(bǔ)丁程序的字節(jié)碼
14.2.3　目標(biāo)pe的字節(jié)碼
14.3　手工打造目標(biāo)pe的步驟
14.3.1　基本思路
14.3.2　對代碼段的處理
14.3.3　對導(dǎo)入表的處理
14.3.4　對數(shù)據(jù)段的處理
14.3.5　修改前后pe文件對比
14.4　開發(fā)補(bǔ)丁工具
14.4.1　編程思路
14.4.2　數(shù)據(jù)結(jié)構(gòu)分析
14.4.3　運(yùn)行測試
14.4.4　適應(yīng)性測試實(shí)例分析
14.5　小結(jié)

第15章　在pe間隙中插入程序
15.1　什么是pe間隙
15.1.1　構(gòu)造間隙一
15.1.2　間隙一與參數(shù)
15.2　插入helloworld的補(bǔ)丁程序?qū)嵗?
15.2.1　補(bǔ)丁程序字節(jié)碼
15.2.2　目標(biāo)pe結(jié)構(gòu)
15.3　開發(fā)補(bǔ)丁工具
15.3.1　編程思路
15.3.2　數(shù)據(jù)結(jié)構(gòu)分析
15.3.3　主要代碼
15.3.4　運(yùn)行測試
15.4　存在綁定導(dǎo)入數(shù)據(jù)的pe補(bǔ)丁程序?qū)嵗?
15.4.1　改進(jìn)補(bǔ)丁程序
15.4.2　修正補(bǔ)丁工具
15.4.3　為記事本程序打補(bǔ)丁
15.5　小結(jié)

第16章　在pe新增節(jié)中插入程序
16.1　新增pe節(jié)的方法
16.2　在本地建立子目錄的補(bǔ)丁程序?qū)嵗?
16.2.1　補(bǔ)丁程序源代碼
16.2.2　目標(biāo)pe結(jié)構(gòu)
16.3　開發(fā)補(bǔ)丁工具
16.3.1　編程思路
16.3.2　為變量賦值
16.3.3　構(gòu)造新文件數(shù)據(jù)
16.3.4　修正字段參數(shù)
16.3.5　主要代碼
16.3.6　運(yùn)行測試
16.4　小結(jié)

第17章　在pe最后一節(jié)中插入程序
17.1　網(wǎng)絡(luò)文件下載器補(bǔ)丁程序?qū)嵗?
17.1.1　用到的api函數(shù)
17.1.2　補(bǔ)丁功能的預(yù)演代碼
17.1.3　補(bǔ)丁程序的源代碼
17.1.4　目標(biāo)pe結(jié)構(gòu)
17.2　開發(fā)補(bǔ)丁工具
17.2.1　編程思路
17.2.2　主要代碼
17.2.3　運(yùn)行測試
17.3　小結(jié)
第三部分　pe的應(yīng)用案例

第18章　exe捆綁器
18.1　基本思路
18.2　exe執(zhí)行調(diào)度機(jī)制
18.2.1　相關(guān)api函數(shù)
18.2.2　控制進(jìn)程同步運(yùn)行實(shí)例分析
18.3　字節(jié)碼轉(zhuǎn)換工具h(yuǎn)ex2db
18.3.1　hex2db源代碼
18.3.2　運(yùn)行測試
18.4　執(zhí)行調(diào)度程序_host.exe
18.4.1　主要代碼
18.4.2　數(shù)據(jù)結(jié)構(gòu)分析
18.5　宿主程序host.exe
18.5.1　宿主程序的功能
18.5.2　宿主程序的狀態(tài)
18.5.3　遍歷文件
18.5.4　釋放文件
18.5.5　宿主程序主函數(shù)
18.6　exe捆綁器bind.exe
18.6.1　綁定列表定位
18.6.2　捆綁步驟及主要代碼
18.6.3　測試運(yùn)行
18.7　小結(jié)

第19章　軟件安裝自動(dòng)化
19.1　基本思路
19.2　補(bǔ)丁程序patch.exe
19.2.1　相關(guān)api函數(shù)
19.2.2　執(zhí)行線程函數(shù)
19.2.3　簡單測試
19.3　消息發(fā)送器_message.exe
19.3.1　窗口枚舉回調(diào)函數(shù)
19.3.2　調(diào)用窗口枚舉函數(shù)
19.3.3　向指定窗口發(fā)送消息
19.3.4　消息發(fā)送器源代碼
19.3.5　測試運(yùn)行
19.4　消息發(fā)送器生成工廠messagefactory.exe
19.4.1　消息發(fā)送函數(shù)
19.4.2　鍵盤虛擬碼
19.4.3　改進(jìn)的消息發(fā)送器實(shí)例分析
19.4.4　消息發(fā)送器生成工廠代碼結(jié)構(gòu)
19.4.5　代碼與數(shù)據(jù)的定位
19.4.6　提取代碼字節(jié)碼
19.5　軟件安裝自動(dòng)化主程序autosetup.exe
19.5.1　主要代碼
19.5.2　測試運(yùn)行
19.6　小結(jié)

第20章　exe加鎖器
20.1　基本思路
20.2　免資源文件的窗口程序nores.asm
20.2.1　窗口創(chuàng)建函數(shù)createwindowex
20.2.2　創(chuàng)建用戶登錄窗口的控件
20.2.3　窗口程序源代碼
20.3　免重定位的窗口程序login.asm
20.4　補(bǔ)丁程序patch.asm
20.4.1　獲取導(dǎo)入庫及函數(shù)
20.4.2　按照補(bǔ)丁框架修改login.asm
20.4.3　補(bǔ)丁程序主要代碼
20.5　附加補(bǔ)丁運(yùn)行
20.6　小結(jié)

第21章　 exe加密
21.1　基本思路
21.2　加密算法
21.2.1　加密算法的分類
21.2.2　自定義可逆加密算法實(shí)例
21.2.3　構(gòu)造加密基表
21.2.4　利用基表測試加密數(shù)據(jù)
21.3　開發(fā)補(bǔ)丁工具
21.3.1　轉(zhuǎn)移數(shù)據(jù)目錄
21.3.2　傳遞程序參數(shù)
21.3.3　加密節(jié)區(qū)內(nèi)容
21.4　處理補(bǔ)丁程序
21.4.1　還原數(shù)據(jù)目錄表
21.4.2　解密節(jié)區(qū)內(nèi)容
21.4.3　加載目標(biāo)dll
21.4.4　修正目標(biāo)iat
21.5　小結(jié)

第22章　pe病毒提示器
22.1　基本思路
22.1.1　志愿者的選擇條件
22.1.2　判斷病毒感染的原理
22.2　手工打造pe病毒提示器
22.2.1　編程思路
22.2.2　分析目標(biāo)文件的導(dǎo)入表
22.2.3　補(bǔ)丁程序的源代碼
22.2.4　補(bǔ)丁程序的字節(jié)碼
22.2.5　修正函數(shù)地址
22.2.6　測試運(yùn)行
22.3　補(bǔ)丁版的pe病毒提示器
22.3.1　將提示器寫入啟動(dòng)項(xiàng)
22.3.2　檢測特定位置校驗(yàn)和
22.3.3　測試運(yùn)行
22.4　小結(jié)

第23章　破解pe病毒
23.1　病毒保護(hù)技術(shù)
23.1.1　花指令
23.1.2　反跟蹤技術(shù)
23.1.3　反調(diào)試技術(shù)
23.1.4　自修改技術(shù)
23.1.5　注冊表項(xiàng)保護(hù)技術(shù)
23.1.6　進(jìn)程保護(hù)技術(shù)
23.2　pe病毒補(bǔ)丁程序解析
23.2.1　病毒特征
23.2.2　補(bǔ)丁程序的源代碼分析
23.2.3　病毒傳播測試
23.2.4　感染前后pe結(jié)構(gòu)對比
23.3　解毒代碼的編寫
23.3.1　基本思路
23.3.2　計(jì)算病毒代碼大小
23.3.3　獲取原始入口地址
23.3.4　修正pe頭部的其他參數(shù)
23.3.5　主要代碼
23.3.6　運(yùn)行測試
23.4　小結(jié)
后記