C和汇编编程资料收集

关于修改 EXE 文件的导入表,实际上是一个很古老的话题了(如果您是此中高手,请不要在这
篇文章浪费时间了,如果您发现了其中的问题,还请多多指教).一些 PE 相关的软件,也都实现
了这样的功能,例如 Stud_PE.Stud_PE 通过添加一个新节并将导入表连同添加的内容一并复
制到新节的方法来实现对 DLL 的导入.使用这样的方法只要是 PE 格式的 EXE 文件,都可以
实现导入 DLL 的功能,但此方法,实现了通用性,却增加了文件的大小.对于存放在磁盘上 PE
文件,其中存在着大量的空隙,我们知道 PE 中的数据是按照一定的文件对齐来组
织.IMAGE_OPTIONAL_HEADER 结构中的 FileAlignment 成员保存着文件对齐的大小,这个
成员是在链接的时候由链接器指定,如果使用 VC 来编写程序,可以使用 link 中的/filealign 来
调整文件对齐的大小.这里,就是利用这些空隙来使 EXE 在启动时载入 DLL(类似于一些病毒
的技术),同时并不改变文件的大小.如何实现?还是要修改导入表.然而这种方法的缺点也是很
明显的,并不是每个EXE都有足够的空间让我们来插入数据,按照我的测试,在 Windows 2003
Enterprise sp1 中,lsass.exe 以及 services.exe 都是有足够的空间进行插入,而在 Windows 2000
Advance Server sp4 中,lsass.exe 无法插入,services.exe 可以插入.这些 EXE 文件的
FileAlignment 为 0x200H.为什么选择这些 exe 文件?说到这里我的意图已经很明显了,黑客之
门便是利用这种方法实现自启动的木马.

 属性            大小     日期    时间   名称
----------- ---------  ---------- -----  ----

     文件     904496  2007-08-19 16:47  C和汇编编程资料收集.pdf

----------- ---------  ---------- -----  ----

               904496                    1