PE可执行文件“减肥”实例
PE可执行文件“减肥”实例
网上有很多用于查看“拨号设置”、“邮箱帐号”等密码框密码的程序,大小从几十KB到几百KB不等。其实,就是向edit控件发送一个WM_GETTEXT消息,并没有什么神秘的技术可言,程序写起来也并不复杂,大小应该几KB足以。让我们看看它到底能小到什么程度?
(相关程序,请在www.csdn.net“软件频道→工具类软件→其他工具”处,下载“mini密码查看器”)
要得到密码框中的密码,一个WindowFromPoint()API函数,加上一个WM_GETTEXT消息,就可以简单搞定。再加上一些交互操作,代码不会超过1KB。
在Windows GUI环境中,当然少不了用户界面。程序是基于对话框的,其中包括一个edit,1个static和一个icon。资源部分不到1KB。
界面太寒酸了,让它modern一些吧:增加一个ToolTip;动态改变一下Cursor;再子类化一下static,用它实现超链接功能。至此,代码小于2KB。
PE格式文件头:1KB。
1KB文件头+2KB代码+1KB资源=4KB,这么说,编译后程序的大小是4KB吗?NO!程序大小将超过6KB!
用UltraEdit打开刚编译好的可执行文件观察一下,发现代码编译得并不紧凑,里面有大块的留白区域,看来程序尺寸还可以再减小。这就需要用我的InsidePE工具来仔细分析一下程序结构了。
(相关程序,请在www.csdn.net“软件频道→工具类软件→系统工具”处,下载“InsidePE”)
MASM将我的代码编译成4个节,分别是:
.text :2KB,存放程序代码
.rdata:1.5KB,存放导入表
.data :0.5KB,存放静态数据
.rsrc :1KB,存放程序资源
再加上PE头1KB,共6KB。
原来多出来的2KB是.rdata和.data节。要使程序的尺寸进一步减小,就得想办法去掉这两个节。
对.data节的处理很简单,程序中用到的静态数据就是100来个字节的字符串,直接将它们移到.rsrc节的留白处即可。
至此,.data节消失,程序减少了0.5KB。
MASM对导入表的处理分为两部分,从时间效率和空间效率上都逊色于她的同门VC,有失汇编风范。
首先,MASM在.rdata节内建立起导入表,由系统加载器负责在加载时填入相应的导入函数地址;其次,MASM在.text节内建立起“跳板”区,使所有的导入函数调用都先call到“跳板”区,然后再从这里JMP到导入表中正确的导入函数地址处。
我们可以借鉴加壳软件的做法,只由编译器负责导入两个关键的API:LoadLibrary和GetProcAddress,然后在代码段内建立起自己的导入表,在程序加载时自己负责导入其余的函数。这样不但可以减少空间(.text节内的“跳板”区和.rdata节都不再需要了),而且还可以加密导入表来保护自己的软件,使得反汇编更加困难。
至此,.rdata节消失,.text节增加了0.5KB,程序又减少了1KB。
现在的程序是4.5KB,距离目标4KB还有0.5KB,看来最后只有对PE头下手了!
在PE格式文件头中,有一个DOS块(DOS stub),它是一小段DOS程序,通常用于在DOS环境下显示一些提示信息。但在Windows下,who cares?
MASM的Linker有一个/STUB编译选项,可以用自己写的DOSExe程序来替换默认的DOS块。用尘封已久的MASM6.11写了一个只有40h字节的DOSExe程序替换掉PE头中的DOS头。
OK!PE头已缩减到0.5KB。程序又减少了0.5KB!
最终程序大小:4KB
其中:
PE头:0.5KB。
代码:2.5KB。
资源:1KB。
2000-02-24 by tobacco
Email:tobacco@263.net