第14章 运行时压缩
14.3 运行时压缩测试
本节将以notepad.exe为例进行运行时压缩测试。
提示
本节示例使用的是Windows XP SP3中的notepad.exe程序。
我使用的压缩器为UPX,它操作简单、功能强大,且完全免费,受到很多人的青睐。
进入https://upx.sourceforge.net网站,下载“Win32 Console Version”版upx-3.96-win32.zip后在命令行窗口运行,出现图14-1所示的界面,显示出UPX的使用说明。
把notepad.exe文件复制到工作文件夹后,使用如图14-2所示的命令参数,对notepad.exe文件进行运行时压缩。
upx -o notepad_upx.exe notepad.exe
从列出的压缩摘要中可以看到,压缩后的文件尺寸明显减小了(67584→48640)。若使用ZIP压缩,则文件大小缩减为35231。也就是说,运行时的压缩率要比普通的ZIP压缩低一些,这是由于其压缩后得到的是PE文件,需要添加PE头,并且还要放入解压缩代码。
比较notepad.exe 与notepad_upx.exe文件
图14-3是从PE文件视角比较2个文件的示意图,很好地反映出了UPX压缩器的特点(选用不同类型的压缩器与选项,运行时压缩文件的形态也不相同)。
notepad.exe与notepad_upx.exe的比较项目
1、PE头的大小一样(0~400h)。
2、节区名称改变(".text"→"UPX0", “.data"→"UPX1”)。
3、第一个节区的RawDatasize=0(文件中的大小为0)。
4、EP位于第二个节区(原notepad.exe的EP在第一个节区)。
5、资源节区(.rsrc)大小几乎无变化。
需要引起注意的是,第一个节区(UPX0)的RawDataSize为0,即第一个节区在磁盘文件中是不存在的。UPX为何要创建这个空的节区呢?下面使用PEView查看第一个节区头,如图14-4所示。
从VirtualSize值可以发现蛛丝马迹。第一个节区的VirtualSize值竟被设置为10000(而SizeOfRawData值为0)。这就是说,经过UPX压缩后的PE文件在运行瞬间将(文件中的)压缩的代码解压到(内存中的)第一个节区。说得更详细一点,解压缩代码与压缩的源代码都在第二个节区。文件运行时首先执行解压缩代码,把处于压缩状态的源代码解压到第一个节区。解压过程结束后即运行源文件的EP代码。
下一章将使用调试器调试实际的解压缩过程。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
