一种简单的PE压缩算法(Win32汇编)

最新推荐文章于 2022-04-15 00:27:07 发布
最新推荐文章于 2022-04-15 00:27:07 发布
阅读量1.1k 收藏
点赞数
分类专栏: 程序设计 文章标签: PE压缩 Win32汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tutucoo/article/details/84969261
版权

这种算法的核心逻辑是:在对PE进行压缩的时候,如果碰到连续的多个0,比如说0000 0000,会将它变成0 8,0后面的8用来记录0的个数。
下面的代码是对这类压缩的解压缩操作。

.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
includelib user32.lib
include kernel32.inc
includelib kernel32.lib
include comdlg32.inc
includelib comdlg32.lib
TOTAL_SIZE equ 162h
    .data
szFileSource     db    'c:\worm2.exe',0
szFileDest    db    'c:\worm2_bak.exe',0
hFileSrc    dd    0
hFileDst    dd    0
dwTemp        dd     0
dwTemp1        dd     0
dwTemp2        dd    0
szBuffer    db    TOTAL_SIZE dup(0)
szBuffer1    db    0ffffh dup(0)
szText        db    'OK!?',0
szCaption    db    'Got you',0
   
    .code
start:
    invoke CreateFile,addr szFileSource,GENERIC_READ,\
            FILE_SHARE_READ,\
            0,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0
    mov hFileSrc,eax
    
    invoke CreateFile,addr szFileDest,GENERIC_WRITE,\
            FILE_SHARE_READ,\
            0,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,0
    mov hFileDst,eax
    
    invoke ReadFile,hFileSrc,addr szBuffer,\
        TOTAL_SIZE,addr dwTemp,0
        
    mov esi,offset szBuffer
    mov edi,offset szBuffer1
    mov ecx,TOTAL_SIZE
    mov dwTemp2
    
@@0:
    lodsb    ;将SI中的一个字节加载到AL中
    mov bl,al
    sub bl,0    ;判断字符是否是0
    jz @@1    ;如果是0,说明后面跟着的是0的个数,跳转过去处理
            ;szBuffer中的源文件是被压缩过的,核心思路是:碰到连续的多个0会将它变成10;然后在0后面跟着1位数字,代表这一串连续的0的个数
    stosb    
    inc dwTemp2
    dec ecx
    jecxz @F
    jmp @@0
    
@@1:
    dec ecx
    jecxz @F     ;如果ecx为0则跳转
    lodsb    ;0的个数取出到al中
    push ecx
    xor ecx,ecx
    mov cl,al
    add dwTemp2,ecx
    mov al,0
    rep stosb    ;将al存储到di中,重复多次
    pop ecx
    
    dec ecx
    jecxz @F
    jmp @@0
    
@@:
    ;将缓冲区解密之后的数据写入目标文件中
    invoke WriteFile,hFileDst,addr szBuffer1,\
                     dwTemp2,addr dwTemp1,NULL
    invoke CloseHandle,hFileDst
    invoke CloseHandle,hFileSrc
    invoke MessageBox,NULL,offset szText,\    
                    offset szCaption,MB_OK
    invoke ExitProcess,NULL
    
        
end start
tutucoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
16位MASM汇编压缩程序(字典和霍夫曼两种算法)
10-05
汇编写的压缩程序,只支持单文件压缩。 使用了LZ77和Huffman两种算法。 文件的压缩格式写的比较乱,想了解的人就仔细看看代码了…… 压缩的主要算法我是先用C写好,然后再手工翻译成汇编的 文件说明: LZ77.c:C写成的LZ77压缩算法,里面包含了很多调试用的输出,我就懒得删了,觉得麻烦可以删掉printf的输出。 huffman.c:C写成的Huffman压缩算法,也是有很多调试输出。 header.asm:汇编的主要头文件,包含了一些通用的宏和变量声明,其中有调试用的宏DEBUG_INFO,这个需要有Irvine16.inc,此文件包含在Intel汇编语言程序设计里。要用调试的话,在汇编的时候加上DEBUG的宏定义就可以。 compress_v14.asm:程序的框架,里面包含了整个程序的流程和一些非压缩算法的函数。 file_pr.asm:文件操作函数,主要是做了一些封装。 lz77.asm:LZ77算法的16位汇编实现,实际上是对应着lzalong.c的。 huffman.asm:Huffman算法的16位汇编实现,对应着huffman.c。 汇编命令: masm compress_v14.asm, comp.obj masm file_pr.asm masm lz77.asm masm huffman.asm 链接命令: link comp.obj file_pr.obj lz77.obj huffman.obj 程序的具体使用方法可以在汇编出来的程序加-h参数查看使用说明。
PECompact exe/PE压缩工具
07-23
PECompact exe/PE压缩工具
64位支持PE文件压缩工具
01-17
64位EXEDLL支持的压缩壳,360测试无误报
171007 逆向-PE压缩
whklhhhh的博客
10-10 622
1625-5 王子昂 总结《2017年10月7日》 【连续第372天总结】 A. PE压缩 B. 无损压缩rar,zip等就是具有代表性的利用无损压缩算法的格式,压缩后需要解压缩才能运行。有损压缩通常压缩多媒体文件(jpg.mp3.mp4)时都使用有损压缩方式。原理是牺牲人类无法察觉到的部分来换取压缩率。例如mp3的核心算法是删除超越人类听觉范围的波长区段。运行时压缩这种方法针对可执行文件,文
PE压缩壳学习~~~
weixin_30369087的博客
06-16 165
各处转载 ,只是学习,没有其他意思~~~~~~ PE文件内容装在进内存的方式有两种: 1)直接将整个文件读入内存/ 2)根据 Windows PE 装载器载入PE文件的方式将PE文件载入内存 这里采用 2 方法。 创建一个CPack类, 1)封装 LoadPE 函数:1 判断文件是否存在 2 判断文件是否为PE文件 3)文件内容读入内存 4 保存附加数据 2)...
ITU-TG.729Sourcecode.rar_g.729_g.729 汇编
最新发布
09-23
2. "nasm-0.98.36-win32.zip" - 这是nasm汇编器的特定版本,适用于Windows操作系统。用户需要解压并安装这个版本的nasm才能编译源代码。 3. "125332697" - 这个文件名看起来不像是标准的文件格式,可能是某种编号或...
Tasm.zip_YUV_YUV RGB_rgb _tasm_win8 armasm
09-23
首先,YUV是一种常见的视频编码格式,尤其在存储和传输视频时,它比RGB更节省带宽。YUV包含三个分量:Y代表亮度(Luma),U和V代表色度(Chrominance)。YUV有多种变体,但在这里我们可能指的是4:2:0或4:2:2采样,...
PE压缩---PeX v0.99
02-23
综合以上信息,我们可以推断PeX v0.99是一个使用Win32汇编语言编写的PE文件压缩工具,它包含了源代码、资源文件以及编译和调试所需的辅助脚本。通过学习这些源码,开发者可以深入理解PE文件的结构,掌握如何进行有效...
UPX压缩加壳
11-07
UPX(Ultimate Packer for eXecutables)是一种著名的开源、免费的可执行文件压缩和加壳工具。它的主要功能是对Windows平台上的EXE、DLL、COM等PE格式的文件进行压缩,以减小文件大小,同时提供了一种保护机制,使得...
win32平台 Nasm_v0.98
12-16
标题“win32平台 Nasm_v0.98”指的是一个专为Windows 32位系统设计的版本的NASM(Netwide Assembler)软件,版本号为0.98。NASM是一款开源的、支持Intel x86架构的汇编语言编译器,能够将汇编代码转换为机器码,广泛...
汇编运用霍夫曼解压缩
09-11
应用霍夫曼编码多文件进行搜索,对字符进行统计,根据频率将此,建立树,生成霍夫曼编码,然后进行替换。半成品 请谨慎下载~~ 但是其中生成树的 代码是没有问题的
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS头 3 三、 PE文件头 4 1、PE标识 4 2、映像文件头IMAGE_FILE_HEADER 4 3、可选映像头文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1、查找序列号的错误打开方式和正确打开方式 16
PE系统压缩
12-26
装机所需的PE系统文件 用PE系统进行装机的时候需要把这个zip解压到装机盘中
PE文件各种操作源代码加注释
09-28
PE文件,PE文件各种操作的源代码,方法,包含大量注释,文件操作
动态PE和静态PE计算
zhulizhen的专栏
05-30 6417
P/E是Price/Earnign的缩写,中文称之为市盈率,是用来判断公司价值的常用的方法之一,市盈率有静态和动态之分: 静态市盈率是指用现在的股价除以过去一年已经实现的每股收益,例如万科07年每股收益为0.73元(加权,未加权的每股收益为0.70元),4月18日收盘价为20.30,那幺静态市盈率为:20.30/0.73=27.80倍; 动态市盈率是指用现在的股价除以未来一年可
PE文件格式(用于代码逆向分析)
qq_24601427的博客
12-12 1763
PE文件格式PE文件基本结构VA & RVARVA to RAW(内存地址与文件偏移地址的映射)PE文件头DOS头DOS存根NT头IMAGE_FILE_HEADER FileHeader文件头IMAGE_OPTIONAL_HEADER32 OptionalHeader 可选头节区头PE文件格式的应用IAT导入地址表EAT导出地址表工具PEView.exe PE文件格式 PE文件是指32位...
学写压缩壳心得系列之二 掌握PE结构 ,曲径通幽
weixin_33938733的博客
04-18 114
PE文件中的结构众多,但是其实,这些结构一多半是告诉loader怎么去加载自身PE的。正常的PE文件总是很严格去填充自身的内部结构,但是也有一小部分变形PE文件没有那么的中规中矩,所以PE结构中有的信息到了loader可能最终也只是起到了一个校验作用。在纵观PE整个大结构的时候,不应该去拘泥于每一个数据结构的特征,应该从大体上去把握它。本文试图通过loader加载方式的类比和举例的角度,介绍了lo...
UPack 压缩PE头文件分析(特点总结)
m0_62690279的博客
04-15 1121
文章目录UPack 头文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
WIN32汇编基础教程概述
"这是Iczelion的WIN32汇编基础教程,包含了详细的实例分析,适合初学者学习。教程中提到了如何使用MASM编译器,并提供了关于WIN32程序运行环境的基础知识,强调了32位汇编语言与16位Windows编程的区别以及在WIN32...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值