【建立自已的PE Protector(部分)】
这篇文章主要讲解如何使用Visual C++编译器创建一个自定义的PE(Portable Executable)Protector,即一个用于保护可执行文件免受逆向工程攻击的工具。PE Protector的主要功能包括打包、加密、以及对PE文件的结构进行修改,以防止调试和反编译。
文章提到了PE文件的基本结构,它是Microsoft Windows NT操作系统下的标准可执行文件格式。PE文件包含了代码、数据、资源、动态链接库(DLL)等元素。由于强大的调试器和汇编知识的存在,PE文件容易被修改,这对软件开发者来说是个挑战。为了保护软件不被非法复制,开发者通常会使用EXE Protector工具。
在开发PE Protector时,你需要理解PE文件的几个关键组成部分:
1. **MS-DOS信息**:包含一个MS-DOS stub程序,用于在不支持PE格式的DOS环境下运行。
2. **Windows NT信息**:包括PE签名、文件头(IMAGE_FILE_HEADER)和可选头(IMAGE_OPTIONAL_HEADER),这些信息用于操作系统加载和执行程序。
3. **区段信息**:由多个IMAGE_SECTION_HEADER组成,每个表示PE文件的一个内存区域。
文章接下来详细介绍了开发过程中的几个关键步骤:
- **打开PE文件**:使用API函数读取并解析PE文件的结构。
- **验证PE文件的有效性**:检查文件是否符合PE格式规范,确保可以正确处理。
- **创建额外的区段**:为了实现保护功能,可能需要添加新的区段来存放额外的数据或代码。
- **打包和加密区段**:对原始区段进行加密,然后将加密后的数据存储在新的或现有的区段中。
- **构建导入表目录**:重新构建导入表,使得在程序运行时能够正确加载依赖的DLL。
- **重载导入表和API重定向**:在PE文件加载时,需要修改导入地址表,以实现API调用的重定向,增加反调试的难度。
- **反调试方法**:通过检测调试器的存在和行为,实现对抗逆向工程的策略。
- **消除不必要的数据**:为了减小文件大小和提高安全性,可能会删除或混淆一些非关键信息。
文章还提到了后续的两个部分,分别是支持OCX、DLL和SCR等其他类型PE文件的保护,以及使用Cryptography API来加密/解密PE区段信息。
作者提到,文章中提供的源码受到了其他开发者的工作启发,并感谢了他们的贡献,同时也感谢那些帮助测试不同版本Windows的朋友。
这篇文章提供了一个逐步的教程,引导读者了解PE文件的结构,并动手创建一个基本的PE保护工具。对于希望学习PE文件保护技术的开发者来说,这是一个很好的起点。
