14.运行时压缩

Pasted image 20250321123755

1. 数据压缩

数据压缩(DataCompression) 是计算机工程的主要研究内容,经过数十年发展已经有了深入研究,今后还会不断出现更多、更好的算法。
不论哪种形态的文件(数据)都是由二进制(0或1)组成的,只要使用合适的压缩算法,就能缩减其大小。经过压缩的文件若能100%恢复,则称该压缩为“无损压缩”(LosslessDataCompression);若不能恢复原状,则称该压缩为“有损压缩”(LossData Compression)。

1.1. 无损压缩

无损压缩用来缩减文件(数据)的大小,压缩后的文件更易保管、移动。使用经过压缩的文件之前,需要先对文件解压缩(此过程中应该保证数据完整性)。各位肯定用过类似7-zip、“面包房”的压缩程序,用它们压缩文件就是无损压缩算法。
最具代表性的无损压缩算法有Run-Length、Lempel-Ziv、Huffman等。此外还有许多其他压缩算法,它们都是在上面3种压缩算法的基础上改造而成的。只要准确理解了上面3种,就能轻松掌握其他各种压缩算法。ZIP、RAR等是具有代表性的压缩文件格式,它们最根本的压缩理念也是Run-Length、Lempel-Ziv、Huffman,然后应用了一些各自特有的技术(压缩率、压缩/解压时间)。

1.2. 有损压缩

相反,有损压缩允许压缩文件(数据)时损失一定信息,以此换取高压缩率。压缩多媒体文件(jpg、mp3、mp4)时,大部分都使用这种有损压缩方式。从压缩特性来看,有损压缩的数据解压缩后不能完全恢复原始数据。人类的肉眼与听觉几乎无法察觉到这些多媒体文件在压缩中损失的数据。 经过有损压缩后,虽然压缩文件与原文件(从数据层面上看)存在差异,但重要的是人们几乎区分不出这种微小的差别。以mp3文件为例,mp3的核心算法通过删除超越人类听觉范围(20~20000Hz)的波长区段来缩减(不需要的)数据大小。

2. 运行时压缩器

顾名思义,运行时压缩器是针对可执行(PE,PortableExecutable)文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间于内存中解压缩后执行运行时压缩文件也是PE文件,内部含有原PE文件与解码程序。在程序的EP代码中执行解码程序,同时在内存中解压缩后执行。表14-1列出了运行时压缩与普通ZIP压缩的不同点。

项目 普通压缩 运行时压缩
对象文件 所有文件 PE文件 (exe, dll, sys)
压缩结果 压缩文件 (zip, rar) PE文件 (exe, dll, sys)
解压缩方式 使用专门解压缩程序 内部含有解码程序
文件是否可执行 本身不可执行 本身可执行
优点 可以对所有文件以高压缩率压缩 无须专门解压程序便可直接运行
缺点 若无专门解压缩软件则无法使用压缩文件 每次运行均需调用解码程序导致运行时间过长

与普通压缩器相比,运行时压缩器的一个明显不同是“PE文件的可运行性”。

  • 把普通PE文件创建成运行时压缩文件的实用程序称为“压缩器”(Packer)
  • 经反逆向(Anti-Reversing)技术特别处理的压缩器称为保护器(Protector)

2.1. 压缩器

PE压缩器是指可执行文件的压缩器,准确一点应该是“运行时压缩器”,他是PE文件的专用压缩器

2.1.1. 使用目的

  • 缩减PE文件的大小
    文件尺寸小是其突出的优点之一,更便于网络传输与保存。
  • 隐藏PE文件内部代码与资源
    使用压缩器的另一个原因在于,它可以隐藏PE文件内的代码及资源(字符串、API名称字符串)等。压缩后的数据以难以辨识的二进制文件保存,从文件本身来看,这能有效隐藏内部代码与资源(当然解压缩后可以通过内存的Dump窗口查看)

2.1.2. 使用现状

运行时压缩的概念早在DOS时代就出现了,可当时并未广泛使用。因为那时的PC速度不怎么快,每次执行文件时,解压缩的过程会引起很大的系统开销。而现在的PC速度已经变得非常快,用户不能明显察觉运行时压缩文件与源文件在执行时间上的差别。因此,现在的实用程序、“打补丁”文件、普通程序等都广泛应用运行时压缩。

2.1.3. 压缩器种类

PE压缩器大致可以分为两类

  • 单纯用于压缩普通PE文件的压缩器
  • 对源文件进行较大变形、严重破坏PE头、意图稍显不纯的压缩器(专门用于恶意程序的压缩器)

2.2. 保护器

PE保护器是一类保护PE文件免受代码逆向分析的实用程序。它们不像普通的压缩器一样仅对PE文件进行运行时压缩,而应用了多种防止代码逆向分析的技术(反调试、反模拟、代码混乱、多态代码、垃圾代码、调试器监视等)。这类保护器使压缩后的PE文件尺寸反而比源文件要大一些,调试起来非常难。

2.2.1. 使用目的

  • 防止破解
  • 保护代码与资源
    保护器不仅可以保护PE文件本身,还可在文件运行时保护进程内存,防止打开Dump窗口。

2.2.2. 使用现状

这类保护器大量应用于对破解很敏感的安全程序。比如安装在线游戏时会自动安装安全保护程序,游戏安全保护程序就是为了防止游戏“破解工具”运行的。
恶意的游戏破解者总是想方设法破解游戏的安全保护程序,因为破解成功后他们可以利用“游戏内核”获取金钱回报。所以,安全保护程序为了防止恶意破解而使用各种保护器来保护自己(不断更换保护器会让游戏破解者们发疯)。
另一方面,常见的恶性代码(Trojan、Worm)中也大量使用保护器来防止(或降低)杀毒软件的检测。有些保护器还能提供“多变的代码”,每次都会生成不同形态(但功能相同)的代码,这给病毒诊断带来很大困难。

2.2.3. 保护器种类

保护器种类多样、有公用的、商业的、还有专门给恶意代码用的

3. 运行时压缩测试

这里使用的是UPX压缩器
notepad.exe 进行压缩

# upx notepad.exe
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2008
UPX 3.03w       Markus Oberhumer, Laszlo Molnar & John Reiser   Apr 27th 2008

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
     67584 ->     48128   71.21%    win32/pe     notepad.exe                                                                                                                                                                                    Packed 1 file.

可以发现压缩后尺寸有所减小 67584 -> 48128,但还是比用 ZIP 压缩要大一些。因为压缩后得到的是PE文件,需要添加PE头,并且还要写入解压缩代码
如图是 notepad.exenotepad_upx.exe 文件的区别
Pasted image 20250319211035

  • PE头的大小一样(0~400h)。
  • 节区名称改变(".text”- “UPXO",".data”一“UPX1”)。
  • 第一个节区的RawDataSize=0(文件中的大小为0)。
  • EP位于第二个节区(原notepad.exe的EP在第一个节区)。
  • 资源节区(.rsrc)大小几乎无变化

需要注意的是:第一个节区(UPX0)的 RawDataSize 为0,即第一个节区在磁盘文件中是不存在的。UPX为什么要创建这个空节区呢?
我们用 StudyPE 查看就可以发现,第一个节区的 VirtualSize 值被设置成了10000(但 SizeOfRawData 的值却是0)。
Pasted image 20250319212953
就说明:经过UPX压缩后的PE文件在运行瞬间将(文件中的)压缩的代码解压到(内存中的)第一个节区
说得更详细一点,解压缩代码与压缩的源代码都在第二个节区。文件运行时首先执行解压缩代码,把处于压缩状态的源代码解压到第一个节区。解压过程结束后即运行源文件的EP代码
这也是为什么我用010看不到第一个节区 UPX0
Pasted image 20250319213443