Windows PE權威指南：剖析Windows PE文件格式的原理及編程技術

前言
第一部分　pe的原理和基礎

第1章　windows pe 開發(fā)環(huán)境
1.1　開發(fā)語言masm32
1.1.1　設置開發(fā)環(huán)境
1.1.2　開發(fā)第一個源程序helloworld.asm
1.1.3　運行helloworld.exe
1.2　調試軟件ollydbg
1.2.1　調試helloworld.exe
1.2.2　修改exe文件字節(jié)碼
1.3　十六進制編輯軟件flexhex
1.4　破解實例：u盤監(jiān)控器
1.5　初識pe文件
1.6　小結

第2章　三個小工具的編寫
2.1　構造基本窗口程序
2.1.1　構造窗口界面
2.1.2　編寫相關的資源文件
2.1.3　通用程序框架的實現
.2.2　pedump的實現
2.2.1　編程思路
2.2.2　pedump編碼
2.2.3　pedump代碼中的數據結構
2.2.4　運行pedump
2.3　pecomp的實現
2.3.1　編程思路
2.3.2　定義資源文件
2.3.3　pecomp編碼
2.3.4　運行pecomp
2.4　peinfo的實現
2.4.1　編程思路
2.4.2　peinfo編碼
2.4.3　運行peinfo
2.5　小結

第3章　pe文件頭
3.1　pe的數據組織方式
3.2　與pe有關的基本概念
3.2.1　地址
3.2.2　指針
3.2.3　數據目錄
3.2.4　節(jié)
3.2.5　對齊
3.2.6　unicode字符串
3.3　pe文件結構
3.3.1　16位系統下的pe結構
3.3.2　32位系統下的pe結構
3.3.3　程序員眼中的pe結構
3.4　pe文件頭部解析
3.4.1　dos mz頭image_dos_header
3.4.2　pe頭標識signature
3.4.3　標準pe頭image_file_header
3.4.4　擴展pe頭image_optional_header32
3.4.5　pe頭image_nt_headers
3.4.6　數據目錄項image_data_directory
3.4.7　節(jié)表項image_section_header
3.5　數據結構字段詳解
3.5.1　pe頭image_nt_header的字段
3.5.2　標準pe頭iamge_file_header的字段
3.5.3　擴展pe頭image_optional_header32的字段
3.5.4　數據目錄項image_data_directory的字段
3.5.5　節(jié)表項image_section_header的字段
3.5.6　解析helloworld程序的字節(jié)碼
3.6　pe內存映像
3.7　pe文件頭編程
3.7.1　rva與foa的轉換
3.7.2　數據定位
3.7.3　標志位操作
3.7.4　pe校驗和
3.8　小結

第4章　導入表
4.1　何謂導入表
4.2　導入函數
4.2.1　invoke指令分解
4.2.2　導入函數地址
4.2.3　導入函數宿主
4.3　pe中的導入表
4.3.1　導入表定位
4.3.2　導入表描述符image_import_descriptor
4.3.3　導入表的雙橋結構
4.3.4　導入函數地址表
4.3.5　構造調用同一個dll文件的多個函數的導入表
4.4　導入表編程
4.4.1　導入表遍歷的思路
4.4.2　編寫函數_getimportinfo
4.4.3　運行測試
4.5　綁定導入
4.5.1　綁定導入機制
4.5.2　綁定導入數據定位
4.5.3　綁定導入數據結構
4.5.4　綁定導入實例分析
4.6　手工重組導入表
4.6.1　常用注冊表api
4.6.2　構造目標指令
4.6.3　pe頭部變化
4.6.4　手工重組
4.6.5　程序實現
4.6.6　思考：關于iat的連貫性
4.6.7　思考：關于導入表的位置
4.7　小結

第5章　導出表
5.1　導出表的作用
5.1.1　分析動態(tài)鏈接庫功能
5.1.2　獲得導出函數地址
5.2　構造含導出表的pe文件
5.2.1　dll源代碼
5.2.2　編寫def文件
5.2.3　編譯和鏈接
5.2.4　編寫頭文件
5.2.5　使用導出函數
5.3　導出表數據結構
5.3.1　導出表定位
5.3.2　導出目錄image_export_directory
5.3.3　導出表實例分析
5.4　導出表編程
5.4.1　根據編號查找函數地址
5.4.2　根據名字查找函數地址
5.4.3　遍歷導出表
5.5　導出表的應用
5.5.1　導出函數覆蓋
5.5.2　導出私有函數
5.6　小結
第6 章　棧與重定位表
6.1　棧
6.1.1　棧的應用場合
6.1.2　call調用中的棧實例分析
6.1.3　棧溢出
6.2　代碼重定位
6.2.1　重定位的提出
6.2.2　實現重定位的方法
6.2.3　重定位編程
6.3　pe文件頭中的重定位表
6.3.1　重定位表定位
6.3.2　重定位表項image_base_relocation
6.3.3　重定位表的結構
6.3.4　遍歷重定位表
6.3.5　重定位表實例分析
6.4　小結

第7章　資源表
7.1　資源分類
7.1.1　位圖、光標、圖標資源
7.1.2　菜單資源
7.1.3　對話框資源
7.1.4　自定義資源
7.2　pe資源表組織
7.2.1　資源表的組織方式
7.2.2　資源表數據定位
7.2.3　資源目錄頭image_resource_directory
7.2.4　資源目錄項image_resource_directory_entry
7.2.5　資源數據項image_resource_data_entry
7.2.6　三級結構中目錄項的區(qū)別
7.3　資源表遍歷
7.4　pe資源深度解析
7.4.1　資源腳本
7.4.2　使用peinfo分析資源表
7.4.3　菜單資源解析
7.4.4　圖標資源解析
7.4.5　圖標組資源解析
7.4.6　對話框資源解析
7.5　資源表編程
7.5.1　更改圖標實驗
7.5.2　提取程序圖標實例
7.5.3　更改程序圖標實例
7.6　小結

第8章　延遲加載導入表
8.1　延遲加載導入的概念及其作用
8.1.1　提高應用程序加載速度
8.1.2　提高應用程序兼容性
8.1.3　提高應用程序可整合性
8.2　pe中的延遲加載導入表
8.2.1　延遲加載導入表數據定位
8.2.2　延遲加載導入描述符image_delay_import_descriptor
8.2.3　延遲加載導入表實例分析
8.3　延遲加載導入機制詳解
8.4　延遲加載導入編程
8.4.1　修改資源文件pe.rc
8.4.2　修改源代碼pe.asm
8.5　關于延遲加載導入的兩個問題
8.5.1　異常處理
8.5.2　 dll的卸載
8.6　小結

第9章　線程局部存儲
9.1　windows進程與線程
9.1.1　windows體系結構
9.1.2　進程與線程創(chuàng)建
9.1.3　進程環(huán)境塊peb
9.1.4　線程環(huán)境塊teb
9.2　什么是線程局部存儲
9.3　動態(tài)線程局部存儲
9.3.1　動態(tài)tls實例
9.3.2　獲取索引tlsalloc
9.3.3　按索引取值tlsgetvalue
9.3.4　按索引存儲tlssetvalue
9.3.5　釋放索引tlsfree
9.4　靜態(tài)線程局部存儲
9.4.1　tls定位
9.4.2　tls目錄結構image_tls_directory32
9.4.3　靜態(tài)tls實例分析
9.4.4　tls回調函數
9.4.5　測試靜態(tài)tls下的線程存儲初始化回調函數
9.5　小結

第10章　加載配置信息
10.1　何謂加載配置信息
10.2　windows結構化異常處理
10.2.1　什么是seh
10.2.2　windows異常分類
10.2.3　內核模式下的異常處理
10.2.4　用戶模式下的異常處理
10.2.5　windows seh機制解析
10.2.6　seh編程實例
10.3　pe中的加載配置信息
10.3.1　加載配置信息定位
10.3.2　加載配置目錄image_load_config_directory
10.3.3　加載配置信息實例分析
10.4　加載配置編程
10.4.1　程序源代碼分析
10.4.2　為pe添加加載配置信息
10.4.3　運行測試
10.4.4　注冊多個異常處理函數示例
10.5　小結

第11章　動態(tài)加載技術
11.1　windows虛擬地址空間分配
11.1.1　用戶態(tài)低2gb空間分配
11.1.2　核心態(tài)高2gb空間分配
11.1.3　helloworld進程空間分析
11.2　windows動態(tài)庫技術
11.2.1　 dll靜態(tài)調用
11.2.2　 dll動態(tài)調用
11.2.3　導出函數起始地址實例
11.3　在編程中使用動態(tài)加載技術
11.3.1　獲取kernel32.dll基地址
11.3.2　獲取getprocaddress地址
11.3.3　在代碼中使用獲取的函數地址編程
11.3.4　動態(tài)api技術編程實例
11.4　小結
第二部分　pe進階

第12章　pe變形技術
12.1　變形技術的分類
12.1.1　結構重疊技術
12.1.2　空間調整技術
12.1.3　數據轉移技術
12.1.4　數據壓縮技術
12.2　變形技術可用的空間
12.2.1　文件頭部未用的字段
12.2.2　大小不固定的數據塊
12.2.3　因對齊產生的補足空間
12.3　pe文件變形原則
12.3.1　關于數據目錄表
12.3.2　關于節(jié)表
12.3.3　關于導入表
12.3.4　關于程序數據
12.3.5　關于對齊
12.3.6　幾個關注的字段
12.4　將pe變小的實例helloworldpe
12.4.1　源程序helloworld的字節(jié)碼（2560字節(jié)）
12.4.2　目標pe文件的字節(jié)碼（432字節(jié)）
12.5　打造目標pe的步驟
12.5.1　對文件頭的處理
12.5.2　對代碼段的處理
12.5.3　對導入表的處理
12.5.4　對部分字段值的修正
12.5.5　修改后的文件結構
12.5.6　修改后的文件分析
12.5.7　目標文件更小的實例分析
12.6　小結

第13章　pe補丁技術
13.1　動態(tài)補丁
13.1.1　進程間的通信機制
13.1.2　讀寫進程內存
13.1.3　目標進程枚舉
13.1.4　執(zhí)行遠程線程
13.2　靜態(tài)補丁
13.2.1　整體替換pe文件
13.2.2　整體替換dll文件
13.2.3　部分修改pe文件
13.3　嵌入補丁程序
13.3.1　嵌入補丁程序框架
13.3.2　嵌入補丁程序編寫規(guī)則
13.3.3　嵌入補丁字節(jié)碼實例分析
13.4　萬能補丁碼
13.4.1　原理
13.4.2　源代碼
13.4.3　字節(jié)碼
13.4.4　運行測試
13.5　小結

第14章　在pe空閑空間中插入程序
14.1　什么是 pe空閑空間
14.1.1　pe文件中的可用空間
14.1.2　獲取pe文件可用空間的代碼
14.1.3　獲取pe文件可用空間的測試
14.2　添加注冊表啟動項的補丁程序實例
14.2.1　補丁程序的源代碼
14.2.2　補丁程序的字節(jié)碼
14.2.3　目標pe的字節(jié)碼
14.3　手工打造目標pe的步驟
14.3.1　基本思路
14.3.2　對代碼段的處理
14.3.3　對導入表的處理
14.3.4　對數據段的處理
14.3.5　修改前后pe文件對比
14.4　開發(fā)補丁工具
14.4.1　編程思路
14.4.2　數據結構分析
14.4.3　運行測試
14.4.4　適應性測試實例分析
14.5　小結

第15章　在pe間隙中插入程序
15.1　什么是pe間隙
15.1.1　構造間隙一
15.1.2　間隙一與參數
15.2　插入helloworld的補丁程序實例
15.2.1　補丁程序字節(jié)碼
15.2.2　目標pe結構
15.3　開發(fā)補丁工具
15.3.1　編程思路
15.3.2　數據結構分析
15.3.3　主要代碼
15.3.4　運行測試
15.4　存在綁定導入數據的pe補丁程序實例
15.4.1　改進補丁程序
15.4.2　修正補丁工具
15.4.3　為記事本程序打補丁
15.5　小結

第16章　在pe新增節(jié)中插入程序
16.1　新增pe節(jié)的方法
16.2　在本地建立子目錄的補丁程序實例
16.2.1　補丁程序源代碼
16.2.2　目標pe結構
16.3　開發(fā)補丁工具
16.3.1　編程思路
16.3.2　為變量賦值
16.3.3　構造新文件數據
16.3.4　修正字段參數
16.3.5　主要代碼
16.3.6　運行測試
16.4　小結

第17章　在pe最后一節(jié)中插入程序
17.1　網絡文件下載器補丁程序實例
17.1.1　用到的api函數
17.1.2　補丁功能的預演代碼
17.1.3　補丁程序的源代碼
17.1.4　目標pe結構
17.2　開發(fā)補丁工具
17.2.1　編程思路
17.2.2　主要代碼
17.2.3　運行測試
17.3　小結
第三部分　pe的應用案例

第18章　exe捆綁器
18.1　基本思路
18.2　exe執(zhí)行調度機制
18.2.1　相關api函數
18.2.2　控制進程同步運行實例分析
18.3　字節(jié)碼轉換工具hex2db
18.3.1　hex2db源代碼
18.3.2　運行測試
18.4　執(zhí)行調度程序_host.exe
18.4.1　主要代碼
18.4.2　數據結構分析
18.5　宿主程序host.exe
18.5.1　宿主程序的功能
18.5.2　宿主程序的狀態(tài)
18.5.3　遍歷文件
18.5.4　釋放文件
18.5.5　宿主程序主函數
18.6　exe捆綁器bind.exe
18.6.1　綁定列表定位
18.6.2　捆綁步驟及主要代碼
18.6.3　測試運行
18.7　小結

第19章　軟件安裝自動化
19.1　基本思路
19.2　補丁程序patch.exe
19.2.1　相關api函數
19.2.2　執(zhí)行線程函數
19.2.3　簡單測試
19.3　消息發(fā)送器_message.exe
19.3.1　窗口枚舉回調函數
19.3.2　調用窗口枚舉函數
19.3.3　向指定窗口發(fā)送消息
19.3.4　消息發(fā)送器源代碼
19.3.5　測試運行
19.4　消息發(fā)送器生成工廠messagefactory.exe
19.4.1　消息發(fā)送函數
19.4.2　鍵盤虛擬碼
19.4.3　改進的消息發(fā)送器實例分析
19.4.4　消息發(fā)送器生成工廠代碼結構
19.4.5　代碼與數據的定位
19.4.6　提取代碼字節(jié)碼
19.5　軟件安裝自動化主程序autosetup.exe
19.5.1　主要代碼
19.5.2　測試運行
19.6　小結

第20章　exe加鎖器
20.1　基本思路
20.2　免資源文件的窗口程序nores.asm
20.2.1　窗口創(chuàng)建函數createwindowex
20.2.2　創(chuàng)建用戶登錄窗口的控件
20.2.3　窗口程序源代碼
20.3　免重定位的窗口程序login.asm
20.4　補丁程序patch.asm
20.4.1　獲取導入庫及函數
20.4.2　按照補丁框架修改login.asm
20.4.3　補丁程序主要代碼
20.5　附加補丁運行
20.6　小結

第21章　 exe加密
21.1　基本思路
21.2　加密算法
21.2.1　加密算法的分類
21.2.2　自定義可逆加密算法實例
21.2.3　構造加密基表
21.2.4　利用基表測試加密數據
21.3　開發(fā)補丁工具
21.3.1　轉移數據目錄
21.3.2　傳遞程序參數
21.3.3　加密節(jié)區(qū)內容
21.4　處理補丁程序
21.4.1　還原數據目錄表
21.4.2　解密節(jié)區(qū)內容
21.4.3　加載目標dll
21.4.4　修正目標iat
21.5　小結

第22章　pe病毒提示器
22.1　基本思路
22.1.1　志愿者的選擇條件
22.1.2　判斷病毒感染的原理
22.2　手工打造pe病毒提示器
22.2.1　編程思路
22.2.2　分析目標文件的導入表
22.2.3　補丁程序的源代碼
22.2.4　補丁程序的字節(jié)碼
22.2.5　修正函數地址
22.2.6　測試運行
22.3　補丁版的pe病毒提示器
22.3.1　將提示器寫入啟動項
22.3.2　檢測特定位置校驗和
22.3.3　測試運行
22.4　小結

第23章　破解pe病毒
23.1　病毒保護技術
23.1.1　花指令
23.1.2　反跟蹤技術
23.1.3　反調試技術
23.1.4　自修改技術
23.1.5　注冊表項保護技術
23.1.6　進程保護技術
23.2　pe病毒補丁程序解析
23.2.1　病毒特征
23.2.2　補丁程序的源代碼分析
23.2.3　病毒傳播測試
23.2.4　感染前后pe結構對比
23.3　解毒代碼的編寫
23.3.1　基本思路
23.3.2　計算病毒代碼大小
23.3.3　獲取原始入口地址
23.3.4　修正pe頭部的其他參數
23.3.5　主要代碼
23.3.6　運行測試
23.4　小結
后記