6

S

概述

PE

文件加密

,

俗称对

PE

文件加壳。通过加壳

,

修

改了原程序的执行文件的组织

结构

,

同时保护和隐藏

了一些软件开发商的重要信息。在运行加过壳的程序

时

,

首先

执行的程序实际上是外壳的程序

,

而这个外

壳程序负责把原始的程序在内存中解压

缩

,

并把控制

权交还给解开后的真正的程序

,

由于一切工作都是在

内存中运行

,

使用

者根本不知道也不需要知道其运行

过程

,

最终的执行结果和加壳之前是一样的。

对于一个软件开发商来说

,

要想了解

PE

文件加密

处理的技术

,

第一步必须要研

究

PE

文件格式

,

研究

PE

文件格式不但可以给我们洞悉

Windows

结构的良机

,

而且

对于如何去保护自己开发的软件

,

有非常好的帮

助

,

下面我们来介绍一下

PE

文件的

相关知识。

PE

文件介绍

PE

文件的意思就是

Portable

Executable (

可移植的执

行体

。它是

Win32

环境

自身所带的执行体文件格式。

它的一些特性继承自

Unix

的

Coff

(common

object

file format

文件格式。

“portable

executable” (

可移植的执行

体

意味着此文

件格式是跨

win32

平台的

:

即使

Windows

运行在非

Intel

的

CPU

上

,

任何

win32

平台

的

PE

装载器都

能识别和使用该文件格式。当然

,

移植到不同的

CPU

上

PE

执行体

必然得有一些改变。所有

win32

执行体都

使用

PE

文件格式

,

包括动态库

NT

的内

核模式驱动程序

(kernel

mode

drivers

。

EXE

与

DLL

的差别完全是语义上

的。

它们使用格式

,

其实都是

PE

文件格式。唯一的区

别就是其中有一个字段标识出是

EXE

还是

DLL,

还有很

多

DLL

的扩展比如

OCX,CPL

等都是

PE

文件格式。