逆向——运行时压缩

1.数据压缩

数据压缩是计算机工程的主要研究内容，经过数十年发展已经有了深入研究，今后还会出现更多，更好的算法。不论哪种形态的文件都是由2进制组成的，只要使用合适的压缩算法，就能缩减其大小。经过压缩的文件若能100%恢复，则称该压缩为无损压缩；若不能恢复原状，则称该压缩为有损压缩。

无损压缩

无损压缩用来缩减文件的大小，压缩后的文件更易保管、移动。使用经过压缩的文件之前，需要先对文件解压缩（此过程应该保证数据完整性）。
如7-zip的压缩文件就是无损压缩算法。最具代表性的无损压缩算法有Run-Length、Lempel-Ziv、Huffman等。此外还有许多其他压缩算法，它们都是在上面三种的基础上改造而成的。

有损压缩

有损压缩允许压缩文件时损失一定信息，以此换取高压缩率。压缩多媒体文件时，大部分都使用这种有损压缩方式。从压缩特性来看，有压缩的数据解压缩后不能完全恢复原始数据。人类的肉眼与听觉几乎无法察觉到这些多媒体文件在压缩中损失的数据。经过有损压缩后，虽然压缩文件与原文件存在差异，但重要的是人类几乎区分不出这种微小的差别。以mp3文件为例，mp3的核心算法通过删除超越人类听觉范围的波长区段来缩减数据大小。

2.压缩器

PE压缩器是指可执行文件的压缩器，准确一点应称为“运行时压缩器”，它是PE文件的专用压缩器。
#1.使用目的
@缩减PE文件的大小，便于网络运输与保存。
@隐藏PE文件内部代码与资源。
#2.使用现状
运行时压缩的概念早在DOS时代就出现了，可当时并未广泛使用。因为当时的PC速度不怎么快，每次执行文件时，解压缩的过程会引起很大的系统开销。而现在的PC速度已经变的非常快，用户不能明显的察觉运行时压缩文件与源文件在执行时间上的差别。因此，现在的实用程序、“打补丁”文件、普通程序等都广泛应用运行时压缩。
#3.压缩器种类
PE压缩器大致可分为两类：一类是单纯用于压缩普通PE文件的压缩器；另一类是对源文件进行较大变形、严重破坏PE头、意图稍嫌不纯的压缩器。如Virtus、Trojan、Worm等压缩器。

3.保护器

PE保护器是一类保护PE文件免受代码逆向分析的实用程序。它们不像普通程序一样仅对PE文件进行运行时压缩，而应用了多种防止代码逆向分析的技术（反调试、反模拟、代码混乱、多态代码、垃圾代码、调试器监视等）这类保护器使文件压缩后反而比源文件要大一些，调试起来非常困难。
#1.使用目的
防止破解，保护代码与资源。
#2.使用现状
这类保护器大量应用于对破解很敏感的安全程序。比如安装在线游戏时会自动安装安全保护程序，游戏安全保护程序就是为了防止“破解工具”运行的。
恶意的游戏破解者总是想方设法破解游戏的安全保护程序，因为破解成功后它们可以利用游戏内核获取金钱的回报。所以，安全保护程序为了防止恶意破解而使用各种保护器来保护自己。
另一方面，常见的恶性代码中也大量使用保护器来防止杀毒软件的检测。有些保护器还能提供多变的代码，每次都会生成不同的形态（但功能相同）的代码，这给病毒诊断带来很大困难。