PE文件信息隱藏技術研究

◆李怡謙 施 鑫

(中國電子科技集團公司第二十八研究所 江蘇 210007)

PE文件信息隱藏技術研究

◆李怡謙 施 鑫

(中國電子科技集團公司第二十八研究所 江蘇 210007)

PE文件是Win32平臺下一種可執行文件格式，是一種較為流行的可執行文件格式。本文闡述了國內外PE文件信息隱藏技術現狀，詳細分析了PE文件結構，并根據PE文件冗余空間分布特點，提出了一種新的直接在PE文件節冗余空間中嵌入隱藏信息的方案，通過遍歷PE節，計算出每個節中存在冗余空間的大小，根據隱藏信息的大小選擇合適的節嵌入信息。所提方案在PE文件冗余空間中嵌入信息不會影響PE文件的正常執行，未增加PE文件大小，且可從PE文件中準確提取隱藏信息，具有較好的隱蔽性和安全性。

信息隱藏；PE文件；冗余空間

0 引言

隨著因特網技術飛速發展，多媒體信息的快捷傳輸，信息資源共享更為便利。由于互聯網的開放性，各種機密信息在網絡中傳輸時不可避免存在信息泄露之安全問題。信息隱藏技術于上世紀90 年代中期興起，是一門綜合多學科理論知識與技術的新興科學，利用多媒體數字信號自身的冗余性，將信息隱藏于某一宿主信號，即不被輕易感知與察覺，又不影響宿主信號視覺效果和使用價值。目前，學者們對多媒體文件隱寫分析算法以及研究較多，相比之下，PE （Portable Executable）文件信息隱藏研究相對較少，本文集中于次方面問題研究。

PE是Windows系統下一種可執行文件格式，是 Win32平臺自帶的一種可執行文件格式，繼承了 Unix的 COFF(common object file format)文件格式的一些特性。該格式文件是跨平臺性。PE 格式的 EXE 文件結構盡管較為復雜，但格式相對單一，不存在不同文件格式間相互轉化問題。為此，將PE 文件作為隱藏載體可較好解決信息丟失問題。現有對PE文件的研究主要集中于PE文件病毒技術研究，常見的兩種方式有：（1）在PE文件中增加一節，而后在該節中嵌入一段惡意代碼，如此會增加 PE文件存儲容量，影響隱藏信息的隱蔽性；（2）利用PE文件的冗余空間嵌入惡意代碼，這種方式相比第一種方法，隱蔽性較好。諸多學者提出了PE文件隱藏信息算法。端木慶峰等[1]利用PE圖標和位圖資源存儲格式，提出了一種新的調色板冗余顏色分配算法。吳振強等[2]提出了一種將 PE文件作為掩護媒體隱藏信息方案。朱天明等[3]提出了基于代碼搬移的信息隱藏方案。方旺盛等人[4]提出了利用PE文件結構中的冗余空間。基于PE文件的信息隱藏技術當前是較為前沿的熱點研究領域。需要強調的是，在信息技術高速發展的今天，社會諸多行業暴露出了越來越多的信息安全問題，迫切需求高安全性的保護機制與管理制度?；?PE文件的信息隱藏技術能夠滿足安全性要求，但由于相關的研究工作還不夠深入，當前技術尚未成熟。為此，本文將在研究與分析PE文件與其冗余空間的基礎上，提出了一種新的信息隱藏方法。

1 PE文件冗余空間

PE文件主要由DOS頭、PE頭、節表、節內容和調試信息等組成。Windows下可執行文件都是PE文件格式，包括exe、dll、lib等文件。與多媒體信息隱藏類似，PE文件信息隱藏的基本思想是將隱藏信息嵌入于文件的冗余空間中，以達到保護信息安全的目的。 PE文件冗余空間有：（1）PE文件頭和其它結構中未被使用的字段空間；（2）DOS頭和PE文件頭之間冗余空間；（3）PE文件最后一個節表項與第一個節之間冗余空間； （4）PE頭和第一個節表項之間冗余空間；（5）PE 文件的每個節末尾因對齊產生的冗余空間；（6）PE資源節中存在的4 種冗余。PE資源節中冗余空間分布，具體見圖1。

圖1 PE文件資源節冗余空間分布示意圖

目前常用的PE文件可嵌入信息的方式有：（1）直接冗余空間中嵌入隱藏信息；（2）擴展一些大小不固定的數據塊，以獲取足夠空間，而后把隱藏信息嵌入；（3）在原來節后面直接增加一個新節，而后將信息嵌入新增的節中。上述方式比較常規，本文將提出一種新的PE文件信息隱藏方案。

2 提出的信息隱藏方案

由上述可知，PE文件自身存在諸多冗余空間。冗余空間可分為人為構造冗余空間和非構造冗余空間。人為構造冗余具有操作簡單，嵌入信息量大特點，但是構造一個冗余空間會改變了PE文件存儲容量，較容易被發現文件中存在隱藏信息，這種方式隱蔽性較差。本文提出的方案，考慮利用PE文件原始冗余空間隱藏信息。

通過研究PE文件的結構可知，每個PE文件節表后面因對齊，預留了很大的空間，每個節后面同樣因對齊需要，存在很多空閑空間。PE文件中每個節均根據參數FileAligment而對齊，究其原因在于每個節的大小并不全是FileAligment整數倍，如此造成每個節后面就會產生很大的沒有被充分利用的空閑空間，這為嵌入信息提供了可能。

圖2展示了節中的冗余空間位置以及節中幾個重要字段的含義和它們之間的關系。 圖2中字段PointToRawData表示PE文件的節起始地址，VirtualSize是該節實際占用的空間大小，SizeOfRawData是節對齊后的尺寸，冗余空間的大小等于SizeOfRawData值減去 VirtualSize值。冗余空間起始地址為PointToRawData值與VirtualSize值之和，若能夠準確獲取上述數據就可隱藏信息。

圖2 PE節冗余空間

本文提出的信息隱藏方案包括信息嵌入和提取兩個階段，在嵌入信息階段，先對原始信息加密，選擇的隱藏信息種類有文本、圖像、音頻，軟件作者名稱等版權信息，對原始信息的加密目的在于增強隱藏信息安全性和系統抗攻擊性，加密結束后可將信息嵌入到PE文件中。提取信息是嵌入的一個逆過程，先將信息提取出來，然后對信息解密。具體方案步驟為：

（1）選擇一個合適的PE文件作為載體，一般選擇的文件是可以直接點擊運行的exe文件；

（2）判斷該文件是否為PE文件，主要依據DOS頭e_magic字段和PE頭中Signature字段，如果emagic的值等于“MZ”，而且Signature的值等于“PE

主站蜘蛛池模板： 天天综合色网| 色婷婷在线影院| 一本久道热中字伊人| 中文字幕啪啪| 亚洲无码视频图片| 亚洲日韩久久综合中文字幕| 国产一区在线视频观看| 91色爱欧美精品www| 国产精品美女网站| 欧美三级视频在线播放| 国产精品视频a| 国产精品林美惠子在线播放| 国产成人一级| 国产精品成人一区二区不卡| AV片亚洲国产男人的天堂| 三上悠亚一区二区| 国产一区二区丝袜高跟鞋| 亚洲中字无码AV电影在线观看| 在线播放真实国产乱子伦| 人妻91无码色偷偷色噜噜噜| 无码精油按摩潮喷在线播放| 亚洲国产精品一区二区第一页免 | 久996视频精品免费观看| 亚洲国产成人无码AV在线影院L| 欧美一级在线| 人人91人人澡人人妻人人爽| 欧美在线一二区| 国产丰满成熟女性性满足视频| 国产精品自在在线午夜| 国产欧美亚洲精品第3页在线| 人妻无码AⅤ中文字| 日韩精品无码免费一区二区三区| 在线欧美日韩国产| 久久这里只有精品2| 亚洲成A人V欧美综合| 天天综合网色中文字幕| 国产在线自乱拍播放| 色综合成人| 久草国产在线观看| 国产午夜福利亚洲第一| 国产亚洲精品无码专| 久久国产乱子伦视频无卡顿| 99国产在线视频| 亚洲国产日韩在线成人蜜芽| 99免费视频观看| 亚洲人成人伊人成综合网无码| 国产男女XX00免费观看| 奇米精品一区二区三区在线观看| 92午夜福利影院一区二区三区| 亚洲精品欧美日韩在线| 国产精品网拍在线| 国产精品丝袜在线| 精品久久人人爽人人玩人人妻| 亚洲 欧美 偷自乱 图片| 夜精品a一区二区三区| 国产精品三级av及在线观看| 天天色天天综合| 萌白酱国产一区二区| 亚洲欧洲日产国产无码AV| 中文一区二区视频| 91精品aⅴ无码中文字字幕蜜桃| 99精品在线看| 亚洲男人天堂2020| 欧美三級片黃色三級片黃色1| 欧美亚洲香蕉| 极品国产在线| 精品国产三级在线观看| a级毛片免费播放| 亚洲精品亚洲人成在线| 91国内在线视频| 国产福利大秀91| 免费中文字幕在在线不卡| 国产综合欧美| 亚洲无码视频图片| 国产精品hd在线播放| 国产成人综合网| 黄片一区二区三区| 色妞www精品视频一级下载| 精品无码国产自产野外拍在线| 日本www色视频| 香蕉国产精品视频| 日本三级精品|