压缩与脱壳-PE文件格式 二
检验PE文件的有效性
理论 :
如何才能校验指定文件是否为一有效 PE 文件呢 ? 这个问题很难回答,完全取决于想要的精准程度。您可以检验 PE 文件格式里的各个数据结构,或者仅校验一些关键数据结构。大多数情况下,没有必要校验文件里的每一个数据结构,只要一些关键数据结构有效,我们就认为是有效的 PE 文件了。下面我们就来实现前面的假设。
我们要验证的重要数据结构就是 PE header 。从编程角度看, PE header 实际就是一个 IMAGE_NT_HEADERS 结构。定义如下 :
Signature 一 dword 类型,值为 50h, 45h, 00h, 00h ( PE )。 本域为 PE 标记,我们可以此识别给定文件是否为有效 PE 文件。
FileHeader 该结构域包含了关于 PE 文件物理分布的信息, 比如节数目、文件执行机器等。
OptionalHeader 该结构域包含了关于 PE 文件逻辑分布的信息,虽然域名有 " 可选 " 字样,但实际上本结构总是存在的。
我们目的很明确。如果 IMAGE_NT_HEADERS 的 signature 域值等于 "PE" ,那么就是有效的 PE 文件。实际上,为了比较方便, Microsoft 已定义了常量 IMAGE_NT_SIGNATURE 供我们使用。
接下来的问题是 : 如何定位 PE header? 答案很简单 : DOS MZ header 已经包含了指向 PE header 的文件偏移量。 DOS MZ header 又定义成结构 IMAGE_DOS_HEADER 。查询 windows.inc ,我们知道 IMAGE_DOS_HEADER 结构的 e_lfanew 成员就是指向 PE header 的文件偏移量。
现在将所有步骤总结如下 :
首先检验文件头部第一个字的值是否等于 IMAGE_DOS_SIGNATURE , 是则 DOS MZ header 有效。 一旦证明文件的 DOS header 有效后,就可用 e_lfanew 来定位 PE header 了。 比较 PE header 的第一个字的值是否等于 IMAGE_NT_HEADER 。如果前后两个值都匹配,那我们就认为该文件是一个有效的 PE 文件。 Example:
.386 .model flat,stdcall option casemap:none include masm32includewindows.inc include masm32includekernel32.inc include masm32includecomdlg32.inc include masm32includeuser32.inc includelib masm32libuser32.lib includelib masm32libkernel32.lib includelib masm32libcomdlg32.lib SEH struct PrevLink dd ? ; the address of the previous seh structure CurrentHandler dd ? ; the address of the exception handler SafeOffset dd ? ; The offset where it's safe to continue execution PrevEsp dd ? ; the old value in esp PrevEbp dd ? ; The old value in ebp SEH ends .data AppName db "PE tutorial no.2",0 ofn OPENFILENAME <> FilterString db "Executable Files (*.exe, *.dll)",0,"*.exe;*.dll",0 db "All Files",0,"*.*",0,0 FileOpenError db "Cannot open the file for reading",0 FileOpenMappingError db "Cannot open the file for memory mapping",0 FileMappingError db "Cannot map the file into memory",0 FileValidPE db "This file is a valid PE",0 FileInValidPE db "This file is not a valid PE",0 .data? buffer db 512 dup(?) hFile dd ? hMapping dd ? pMapping dd ? ValidPE dd ? .code start proc LOCAL seh:SEH mov ofn.lStructSize,SIZEOF ofn mov ofn.lpstrFilter, OFFSET FilterString mov ofn.lpstrFile, OFFSET buffer mov ofn.nMaxFile,512 mov ofn.Flags, OFN_FILEMUSTEXIST or OFN_PATHMUSTEXIST or OFN_LONGNAMES or OFN_EXPLORER or OFN_HIDEREADONLY invoke GetOpenFileName, ADDR ofn .if eax==TRUE invoke CreateFile, addr buffer, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL .if eax!=INVALID_HANDLE_VALUE mov hFile, eax invoke CreateFileMapping, hFile, NULL, PAGE_READONLY,0,0,0 .if eax!=NULL mov hMapping, eax invoke MapViewOfFile,hMapping,FILE_MAP_READ,0,0,0 .if eax!=NULL mov pMapping,eax assume fs:nothing push fs:[0] pop seh.PrevLink mov seh.CurrentHandler,offset SEHHandler mov seh.SafeOffset,offset FinalExit lea eax,seh mov fs:[0], eax mov seh.PrevEsp,esp mov seh.PrevEbp,ebp mov edi, pMapping assume edi:ptr IMAGE_DOS_HEADER .if [edi].e_magic==IMAGE_DOS_SIGNATURE add edi, [edi].e_lfanew assume edi:ptr IMAGE_NT_HEADERS .if [edi].Signature==IMAGE_NT_SIGNATURE mov ValidPE, TRUE .else mov ValidPE, FALSE .endif .else mov ValidPE,FALSE .endif FinalExit: .if ValidPE==TRUE invoke MessageBox, 0, addr FileValidPE, addr AppName, MB_OK+MB_ICONINFORMATION .else invoke MessageBox, 0, addr FileInValidPE, addr AppName, MB_OK+MB_ICONINFORMATION .endif push seh.PrevLink pop fs:[0] invoke UnmapViewOfFile, pMapping .else invoke MessageBox, 0, addr FileMappingError, addr AppName, MB_OK+MB_ICONERROR .endif invoke CloseHandle,hMapping .else invoke MessageBox, 0, addr FileOpenMappingError, addr AppName, MB_OK+MB_ICONERROR .endif invoke CloseHandle, hFile .else invoke MessageBox, 0, addr FileOpenError, addr AppName, MB_OK+MB_ICONERROR .endif .endif invoke ExitProcess, 0 start endp SEHHandler proc uses edx pExcept:DWORD, pFrame:DWORD, pContext:DWORD, pDispatch:DWORD mov edx,pFrame assume edx:ptr SEH mov eax,pContext assume eax:ptr CONTEXT push [edx].SafeOffset pop [eax].regEip push [edx].PrevEsp pop [eax].regEsp push [edx].PrevEbp pop [eax].regEbp mov ValidPE, FALSE mov eax,ExceptionContinueExecution ret SEHHandler endp end start
分析 :
本例程打开一文件,先检验 DOS header 是否有效,有效就接着检验 PE header 的有效性, ok 就认为是有效的 PE 文件了。这里,我们还运用了结构异常处理 (SEH) ,这样就不必检查每个可能的错误 : 如果有错误出现,就认为 PE 检测失效所致,于是给出我们的报错信息。其实 Windows 内部普遍使用 SEH 来检验参数传递的有效性。若对 SEH 感兴趣的话,可阅读 Jeremy Gordon 的 文章 。
程序调用打开文件通用对话框,用户选定执行文件后,程序便打开文件并映射到内存。并在有效性检验前建立一 SEH:
assume fs:nothing push fs:[0] pop seh.PrevLink mov seh.CurrentHandler,offset SEHHandler mov seh.SafeOffset,offset FinalExit lea eax,seh mov fs:[0], eax mov seh.PrevEsp,esp mov seh.PrevEbp,ebp
一开始就假设寄存器 fs 为空( assume fs:nothing )。 记住这一步不能省却,因为 MASM 假设 fs 寄存器为 ERROR 。接下来保存 Windows 使用的旧 SEH 处理函数地址到我们自己定义的结构中,同时保存我们的 SEH 处理函数地址和异常处理时的执行恢复地址,这样一旦错误发生就能由异常处理函数安全地恢复执行了。同时还保存当前 esp 及 ebp 的值,以便我们的 SEH 处理函数将堆栈恢复到正常状态。
mov edi, pMapping assume edi:ptr IMAGE_DOS_HEADER .if [edi].e_magic==IMAGE_DOS_SIGNATURE
成功建立 SEH 后继续校验工作。置目标文件的首字节地址给 edi ,使其指向 DOS header 的首字节。为便于比较,我们告诉编译器可以假定 edi 正指向 IMAGE_DOS_HEADER 结构 ( 事实亦是如此 ) 。然后比较 DOS header 的首字是否等于字符串 "MZ" ,这里利用了 windows.inc 中定义的 IMAGE_DOS_SIGNATURE 常量。若比较成功,继续转到 PE header ,否则设 ValidPE 值为 FALSE ,意味着文件不是有效 PE 文件。
add edi, [edi].e_lfanew assume edi:ptr IMAGE_NT_HEADERS .if [edi].Signature==IMAGE_NT_SIGNATURE mov ValidPE, TRUE .else mov ValidPE, FALSE .endif
要定位到 PE header ,需要读取 DOS header 中的 e_lfanew 域值。该域含有 PE header 在文件中相对文件首部的偏移量。 edi 加上该值正好定位到 PE header 的首字节。这儿可能会出错,如果文件不是 PE 文件, e_lfanew 值就不正确,加上该值作为指针就可能导致异常。若不用 SEH ,我们必须校验 e_lfanew 值是否超出文件尺寸,这不是一个好办法。如果一切 OK ,我们就比较 PE header 的首字是否是字符串 "PE" 。这里在此用到了常量 IMAGE_NT_SIGNATURE ,相等则认为是有效的 PE 文件。
如果 e_lfanew 的值不正确导致异常,我们的 SEH 处理函数就得到执行控制权,简单恢复堆栈指针和基栈指针后,就根据 safeoffset 的值恢复执行到 FinalExit 标签处。
FinalExit: .if ValidPE==TRUE invoke MessageBox, 0, addr FileValidPE, addr AppName, MB_OK+MB_ICONINFORMATION .else invoke MessageBox, 0, addr FileInValidPE, addr AppName, MB_OK+MB_ICONINFORMATION .endif
上述代码简单明确,根据 ValidPE 的值显示相应信息。
push seh.PrevLink
pop fs:[0]
一旦 SEH 不再使用,必须从 SEH 链上断开。