一种基于PE文件的信息隐藏技术研究
2021年3月Mar .2021销售经理月工作总结
第31卷第2期Vol. 31 No. 2
四川文理学院学报
Sichuan  University  of  Arts  and  Science  Journal
一种基于PE 文件的信息隐藏技术研究
雷冲门,梁丽2
(1.四川文理学院智能制造学院;2.招生就业处,四川达州635000)
摘要:通过对PE 文件冗余空间的分析,针对以新增节的方式进行信息隐藏的方案中存在的问题,提
出了一种先合并节再新增节的无容量限制的信息隐藏方案.实验表明,该方案不仅能达到无容量限制的信
息隐藏,还具有较好的隐蔽性和鲁棒性.
关键词:信息隐藏;PE 文件;新增节;无容量限制
中图分类号:TP309 文献标志码:A 0引言
信息隐藏指把一个特定的信息隐藏在另一个 公共载体的信息中而得到的隐蔽载体,非法者不 知道这个普通信息中是否隐藏了其他的信息,即 便知道也很难提取或去除隐藏的信息.所用载体 可以是文本、图像、声音及视频等”12
PE 文件的全称是Portable  Executable ,意为 可移植的可执行的文件,常见的EXE 、DLL 、SYS , COM 等都是PE 文件,PE 文件是微软Windows  操作系统上的程序文件,而PE 文件信息隐藏是指 利用PE 文件的存储空间冗余、结构特性和PE 文 件执行等特点,在不破坏PE 文件的基本特性和使 用价值的前提下,将受保护信息隐藏在载体PE 文 件中,实现版权保护、隐蔽通信等功能
1 PE 文件结构
PE 文件结构如图1所示,以Windows  32位
操作系统为例,一个标准的PE 文件一般由四大部 分组成:DOS 头、PE 头、节表、节内容.其中DOS
文章编号 1674—5248(2021)02—0133—03
头由DOS  MZ 头和DOS  Stub 构成,DOS  MZ 头 即IMAGE _DOS _HEADER,占据了 PE 文件的头
64个字节,其中最重要的两个字段是e _magic 和e  _lfanew,e _magic 是位于偏移0处的"MZ 标志”, 其值为 0x5A4D,e_lfanew (0x3c  处)指出 了 PE  头 的起始偏移量,紧接着是DOS  Stub ,它是一个字 节块,其内容随着链接时使用的链接器不同而不 同,其大小不固定,在Windows  NT 系统下被当做 是冗余数据.紧接着是PE 头,其由四个字节的PE  头标识Signature, 20个字节的标准PE 头和224 个字节的扩展PE 头组成,紧接着是节表,由多个 IMAGE _SECTION _ HEADER  结构组成,一个 IMAGE _ SECTION  _ HEADER  结构占 40 个字 节,用来描述一个区块(又名节)的属性和位置信 息,它们之间是一-—-对应关系,有多少个区块就有 多少个这样的结构6(
2 PE 文件冗余空间分析
由以上内容可知,PE 文件的结构较为复杂, 其不可避免地会存在一些冗余空间,主要分为如
收稿日期:2020 —05 —17
作者简介:四川教育厅科研项目资助(18ZB0510)
作者简介:雷 冲(1983—),男,湖北武汉人.助教,硕士,主要从事信息安全与嵌入式系统设计与应用研
究."通讯联系人,e —mail : leichong98@163. com.
・133・
2021年第2期雷 冲,梁 丽:一种基于PE 文件的信息隐藏技术研究
下几种.
(1)
PE 文件中存在多种不同的结构,这些结 构本身存在未被使用的字段空间.
图1 PE 文件结构
节内容.reloc  节
.rsrc  节
.data  节.text  节
节表ni  IMAGE  SECTION  HEADER  结构PE 头
16XIMAGE  DATA  DIRECTORY  结构
IMAGE  OPTIONAL  HEADER32 结构
IMAGE  FILE  HEADER32 结构
“PE #, 0, 0
DOS 头
DOS  Stub
IMAGE  DOS  HEADER  结构
(2) PE 文件中存在多个区块,存储在磁盘上
的PE 文件,组成块的数据应保证从本字段的倍数
地址开始,即区块对齐.对于运行于x86的可执行 文件,文件对齐的值由扩展PE 头的
FileAlignment 字段决定,通常为200h 或者
1000h,因而每个区块所占用的磁盘空间往往会大 于它真实的数据所需要的空间,这通常会在每个
区块的末尾为了对齐而存在冗余空间.
(3) 在原来节后面人为新增一个节,添加到原 来节的后面,并修改相应的节表,使得新增的节更
具隐蔽性.'7 8(
第一、二种冗余存在着冗余空间有限的问题,
第三种冗余通过新增节的方法理论上可实现无容
量限制的信息隐藏.新增一个节需要添加一个 IMAGE _SECTION . HEADER  结构,要求 PE  文 件在节表处至少有连续40个字节的冗余空间,如
无法满足则需要进行节的合并从而留出足够的空 间,本文接下来将介绍如何新增节以及合并节从
而留出足够的冗余空间来隐藏信息.3信息隐藏方法
在 win7 环境下,以 QQScLauncher  . exe  为
例,新增一个节的步骤如下:<1>判断是否有足 够的空间,可以添加一个节表.用UltraEdit 软件
查看,可知FileAlignment 的值为200h,在节表与
第一个节之间因文件对齐存在着远超过40个字 -134 -柴鸡价格
节的冗余空间.<2>在节表中新增一个成员.复
制.text 节的四十个字节并添加到节表的最后.< 3>修改PE 头中节的数量.NumberOfSections 字
段的值加1. <4>修改SizeOflmage 的大小.其值
为原Sizeoflmage 值与新增节数据之和并按照内 存对齐后的结果.<5>在原有数据的最后,新增 一个节的数据(须满足内存对齐的整数倍).<6(
修正新增节表的属性.Name 字段的值可随便修
改,但不能超过8个字节;VirtuallAddress 字段的 值按照内存对齐并参照上一个节VirtuallAddress
的值进行修改;SizeofRawData 字段的值为添加的
节数据的大小并按照文件对齐后的要求修改;
PointerToRawData  的 为 上 节 的 PointerToRawData  值与上一个节 SizeofRawData
并非所有的PE 文件都有足够的空间来存放十元箱包
一个节表,例如notepad . exe 二进制文件,其解决 方案一种方法是将整个PE 头以及节表都上移,覆
盖DOS  Stub 这部分内容,同时修改e_lfanew 的 值,使其指向新的PE 签名地址,但如果该二进制
文件是被PE 编辑工具编辑过的,DOS  Stub 这部
分内容则很可能不再是垃圾数据而是有用的数 据,此种方案无法采用.另一种解决方案是进行节 的合并,假设将所有的节合并为一个节,那么对应 的节表只需要有一个结构描述其属性和位置,这 样即可留出足够的空间来进行新增节的操作,其 步骤如下:<1(按照内存对齐展开.<2>将第一 个节的内存大小、文件大小改成一样Max=S-
zeOfRawData  ( VirtualSize? SizeOfRawData  : virtualSize ,其值为其中的大者,将所有节合并为
—个节后,其值为 SizeOfRawData= VirtualSize  =
后 节 的 VirtualAddress+ Max —SizeOf- Headers 内存对齐后的大小.<3>将第一个节的
属性改为包含所有节的属性.<4(将节的数量修
魔兽字体修改改为1
为了增强所隐藏信息的安全性和系统抗攻击
性,可对需要隐藏的信息进行加密处理,加密后将 其嵌入选定的PE 文件中,信息的提取是信息隐藏
的逆过程,其主要操作是从嵌入的地方提取信息, 将加密信息解密后即可获得明文信息.
雷冲,梁丽:一种基于PE文件的信息隐藏技术研究2021年第2期
结语
本文通过对PE文件冗余空间的分析,列举出了基于PE文件进行信息隐藏的一些方案,并针对通过新增节的方式进行信息隐藏的方案中存在的问题,即PE文件被PE编辑工具编辑过后导致无足够的冗余空间,提出了一种先合并节再新增节的方式实现无容量限制的信息隐藏技术.此种方案对原PE文件的大小有所改变,因此在选择PE 文件时应比隐藏的信息大两个数量级以上,如何在不改变PE文件大小的情况下实现无容量限制的信息隐藏有待进一步研究.
参考文献:
[1]王丽娜,张焕国,叶登攀.信息隐藏技术与应用[M].武汉:武汉大学出版社,2003:1—3.
[2]徐晓静,徐向阳.基于PE文件信息隐藏技术研究[D].长沙:湖南大学,2007:16—18.
[3]段钢.加密与解密[M].北京:电子工业出版社,2008:404—406.
[4]吴振强,冯绍东,马建峰•PE文件的信息隐藏方案与实现[J].计算机工程与应用,2005(27):148—150.
[5]徐晓静,徐向阳,梁海华,等.PE文件资源节的信息隐藏研究与方案实现[J]计算机应用,2007(3):621—623.[6]李欣.信息隐藏模型和若干问题研究[D].北京:北京邮电大学,2012:22—23.
[7]李钱,方勇,谭登龙,等.基于PE文件无容量限制的信息隐藏技术研究[J].计算机应用研究,2011(7)2758—2760
[8]杨小龙,赵辉.一种基于PE文件的信息隐藏方法的研究与实现[J].计算机安全,2014(9):8—12.
[责任编辑加晓昕]
A Scheme of Information Hiding Based on PE File
LEI Chong*1,LIANG Lt
(1.Intelligent Manufacturing School of Sichuan University of Arts and Sciences,Dazhou Sichuan635000;
梦到领导
2.Admission and Employment Office of Sichuan University of Arts and Sciences,Dazhou Sichuan635000,China)
Abstract:Based on the analysis of the redundant space of PE files,this paper proposes a non—capacity information hiding scheme that combines multiple sections and then adds new sections.Experiments show that the scheme can not only achieve information hiding without capacity limitation,but also has better concealment and robustness.
教师节小短句
Key words:information hiding;PE file;new section;no capacity limit
・135・

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。