Система автоматического создания сигнатур исполняемых файлов - Программирование, компьютеры и кибернетика дипломная работа

Главная

Программирование, компьютеры и кибернетика
Система автоматического создания сигнатур исполняемых файлов

Общая информация о работе антивируса, обоснование необходимости создания, описание аналогов. Выбор программного обеспечения, среды и языка разработки. Технико-экономическое обоснование. Цели и средства реализации энергетической политики, ее приоритеты.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.


антивирус программный энергетический
Мы живем в эпоху новой научно-технической революции. В эпоху великих открытий, но не географических, а открытия тайн нашего удивительного мира. Человек не в состоянии хранить в голове всю информацию касательно исследований, которые он проводит, или другую не менее важную для него информацию. Можно конечно было использовать листок бумаги и ручку, но несомненно в XXI веке гораздо удобней хранить такую информацию на электронно-вычислительной машине (к примеру на персональном компьютере). Ведь если рассудить компьютер стал незаменим помощником в жизни человека. Теперь без него не куда. Без ЭВМ не может обойтись ни коммерческая фирма, ни государственная организация. Однако, в связи с этим обострилось проблема защиты информации.
Одним из самых распространенных способов для несанкционированного доступа к информации являются компьютерные вирусы. Но современные компьютерные вирусы позволяют не только считывать важные данные, а также может препятствовать нормальной работе компьютера, разрушать файловую структуру и наносить ущерб информации хранимой на персональном компьютере. Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров весьма обеспокоены тем, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность. Все чаще в системах массовой информации появляются заявления об разного рода проделках неких хакеров или IT-хулиганов, о появлении все более совершенных саморазмножающихся программ. Компьютерные вирусы влияют на скорость работы и производительность системы, на выполнение отдельных заданий затрачивается больше времени, чем прежде. Некоторые из вирусов оказывают настолько большой вред, что вся система может «полететь» и перестать работать и в результате будут потеряны данные. Если давать определение компьютерному вирусу, то оно будет выглядеть примерно так: компьютерный вирус - это самокопирующаяся программа, разработанная с целью тиражирования самой себя помимо ведома и против воли пользователей. Распространение вирусов реализуется через присоединение их к другим программам, документам или путём записи в сектор начальной загрузки диска.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями, их количество все равно продолжает расти. Поэтому появилась необходимость в создании средств от различного рода кибератак. Для того чтобы разработать качественный программный продукт направленный на предотвращение или исправления вирусных атак, разработчик должен быть хорошо осведомлен о природе вируса. Одним из самых распространенных способов заражения файлов, это заражение исполняемых фалов. пользователь просто запускает какой-нибудь исполняемы файл, даже не подозревая что он может быть заражен, тем самым неосознанно активирует работу вируса. И для того чтобы выявить заражение системы, пользователь должен обладать обширными знаниями в этой области. выходит если человек не хочет чтобы его постигла участь кибержертвы, он должен либо осваивать методы выявления вирусов, либо не приобретать компьютер. Оба эти варианта неприемлемы для большинства пользователей. Поэтому существуют антивирусы - программы позволяющие неопытному пользователю выявлять компьютерные вирусы. у многих этих антивирусов общий принцип работы очень схож. Если вкратце описать процесс создания и работы программ-антивирусов, то он бы выглядел примерно так:
1) Эксперты зондируют интернет в поиске новых вирусов
2) При нахождении нового вируса они выявляют его сигнатуру (последовательность байт, которая практически не отличается в разных файлах зараженных одним вирусом).
3) Добавляют эту сигнатуру в базу данных сигнатур антивируса
4) Антивирус ищет в файлах сигнатуры имеющиеся в базе.
Сам по себе процесс выявление сигнатуры обычно производится руками, и это требует очень глубоких знаний в этой области от эксперта.
В работе антивирусов можно выделить три составляющих:
Антивирус проверяет все доступные для вирусов места на жёстком диске компьютера, и если он обнаруживает вирус, то оповещает об этом пользователя.
Найдя вирус, антивирусная программа может (по усмотрению пользователя):
А) Попытаться вылечить заражённый файл.
Б) Поместить его в карантин. То есть, если этот файл ценен для вас и содержит какую-то важную информацию, его можно поместить в папку карантина. В дальнейшем, вы можете попытаться его вылечить «вручную» самостоятельно либо же с помощью специалиста, иногда это помогает.
В) Удалить инфицированный файл. Если лечение файла оказалось невозможным, он либо безнадёжно испорчен вирусом либо он сам является вирусом. Значит такой файл необходимо просто удалить с компьютера.
Г) Вы можете не предпринимать никаких действий. Иногда антивирус выдаёт ложную тревогу и если вы уверены, что просканированный файл не является вирусом, то вы смело можете дать отбой своему антивирусу.
Полноценные антивирусные программы, как правило, действуют / защищают компьютер всё время / постоянно. То есть, запускаются вместе с запуском операционной системы и проверяют на наличие вирусов каждую запускаемую программу (файл) и если она содержит вирус или вызывает какое-либо подозрение, то антивирус сразу же даёт вам об этом знать, и далее предлагает вам на выбор принять решение что с этой программой необходимо сделать: вылечить или поместить в карантин или же удалить её с компьютера, либо продолжить работу не предпринимая никаких действий по отношению к данному файлу.
В данной дипломном проекте будет реализован один из функционалов антивирусной программы - диагностика.
Существует несколько способов диагностики файла на зараженность вирусом. Но из всех методов антивирусной защиты можно выделить две основные группы:
Сигнатура (signature)  - означает «подпись», или же в переносном смысле «характерная черта, нечто идентифицирующее». Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.
Сигнатура вируса  - совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом).
Антивирусная база  - совокупность сигнатур известных вирусов. Задачу выделения сигнатур решают эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура.
Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Данное свойство позволяет занести в базу, как сигнатуры, так и способы лечения вируса. Если бы сигнатурный анализ не давал ответа, что это за вирус, очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.
Отрицательное свойство  - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т.к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.
Сигнатурный анализ - это классический способ, позволяющий обнаруживать и однозначно распознавать большинство известных вирусов.
При сигнатурном анализе антивирус работает по следующей схеме:
Каждый компьютерный антивирус содержит антивирусную базу данных, то есть он знает все имеющиеся в наличии на сегодняшний день вирусы (почти все) поимённо, можно сказать «в лицо». «Лицо» этих вирусов - это так называемая сигнатура, то есть признаки по которым их можно определить.
При работе антивируса (проверке файлов), антивирус сверяет все сканируемые им файлы по своей базе данных и если обнаруживается подозрительный файл, то он сразу срабатывает и «бъёт» тревогу.
Антивирусная база обновляется. Обновляется она очень часто, иногда даже по несколько раз в день, потому что каждый день появляется очень много новых вирусов; которые соответственно и заносятся в антивирусную базу.
Эвристика - значит, «находить». Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.
Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры
ь вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями;
ь невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;
ь низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.
Поиск вирусов, выполняющих подозрительные действия.
Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.
ь запись в определенные области системного реестра;
ь перехват данных вводимых с клавиатуры;
Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.
Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого - выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.
Если говорить об эвристическом методе - антивирус анализирует программу, если он видит какой-либо подозрительный по его мнению участок кода, то он тоже предупреждает об этом, но тут конечно не невозможно дать 100%-ные гарантии, что та или иная подозрительная программа это обязательно вирус, поэтому могут быть и ошибки, но всё-таки очень часто такие подозрительные программы впоследствии действительно оказываются вредоносными.
В данном дипломном проекте будет реализован один из функционалов антивируса, а именно поиск вирусов по сигнатурам. Также система должна будет автоматизировано анализировать зараженные файлы и выявлять их сигнатуры.
1.2 Обоснование необходимости создание системы
Как известно, сигнатурой вируса, можно назвать последовательность байт характерных для этого вируса и отличающих зараженную программу от «здоровых» и от других вирусных файлов зараженных другим семейством вирусов.
Известно, что задачей по выявлению вирусов, а также созданием сигнатур для них занимаются эксперты в это области. Однако, данный процесс требует от вирусного аналитика достаточно глубоких знаний в данной области. Эксперт вручную просматривает зараженный файл и ищет подозрительные участки и определяет, какие действия выполняет вирус. Затем на основе собранных данных по вирусу, а также анализу зараженного файла создает сигнатуру для этого вируса, для того чтобы другие пользователи могли гораздо быстрее определить заражен ли файл или нет. Естественно, что данная работа по выявлению сигнатуры может отнимать достаточно много времени у эксперта. Это время можно сократить, если вместо человека данную задачу будет решать система. Система, которая могла бы сама анализировать зараженные файлы и самое главное создать их сигнатуры. А для этого на систему необходимо будет перенести часть знаний эксперта в области вирусологии. Несомненно, что система, которая выявляет сигнатуры вирусов, в разы способна сократить работу аналитика, а также уменьшить время появления новых сигнатур в базе данных антивируса и тем самым обезопасить пользователей персональных компьютеров.
Наименование программы: «Система автоматического создания сигнатур исполняемых файлов»
Программа предназначена для выявления сигнатур в ре файлах зараженных одним семейством вирусов. Также программа иметь возможность проверять файл на предмет наличия вируса по имеющимся сигнатурам. Также в программе предусмотрен собой графический интерфейс для удобства в использовании.
Программа должна обеспечивать возможность выполнения перечисленных ниже функций:
ь Добавление/удаление фалов в список зараженных обрабатываемых на выя вление сигнатуры.
ь Выявление сигнатуры вируса из списка зараженных файлов.
ь Добавление сигнатуры в список сигнатур.
ь Добавление/удаление файлов в список проверяемых
ь Проверка в файлах, из списка проверяемых на наличие сигнатур.
ь Предоставление краткой отчетности о проверки.
Надежное (устойчивое) функционирование программы должно быть обеспечено в ыполнением Заказчиком совокупности организационно-технических мероприятий, перечень которых приведен ниже:
А) организацией бесперебойного питания технических средств;
Б) использованием лицензионного программного обеспечения;
В) регулярным выполнением рекомендаций Министерства труда и социального развития РБ.
Отказы программы вследствие некорректных действий пользователя при взаимодейс твии с программой через оконное приложение недопустимы.
Климатические условия эксплуатации, при которых должны обеспечиваться заданные характеристики, должны удовлетворять требованиям, предъявляемым к техническим средствам в части условий их эксплуатации
Минимальное количество персонала, требуемого для работы программы, должно составлять не менее 1 штатной единицы - конечный пользователь программы. Требования к конечному пользователю:
Б) базовые знания о сигнатурах (необязательно)
Системные программные средства, используемые программой, должны быть представлены лицензионной локализованной версией операционной системы Windows XP/ VISTA/ 7.
При добавлении в нового файла в список обрабатываемых файл должен быть зараженным. Предполагается, что программа не имеет возможности определять заражен файл или нет, если он находится в списке обрабатываемых.
Возможность установки на зараже н ный ПК
Блокировка ра с порстранителей спама и пр.
Безопасность онлайн пок у пок  / банкинга
Без операционной системы невозможно запустить какую-либо прикладную программу, например текстовый редактор. Поэтому ОС - это база, под которую разрабатываются различные приложения.
Другими словами ОС - программа, управляющая компьютером, запускающая все другие программы и выполняющая для них различные сервисные функции.
Операционная система (оболочка) Windows - это разработанная фирмой Microsoft надстройка над операционной системой DOS, обеспечивающая большое количество возможностей и удобств для пользователей и программистов. Широчайшее распространение Windows сделало ее фактическим стандартом для IBM PC - совместимых компьютеров. Подавляющее большинство пользователей таких компьютеров работают в Windows, поэтому практически все новые программы стали разрабатываться именно для эксплуатации в среде Windows .
Из-за такой большой популярности данной операционной системы помимо огранного количества программ написанных для неё, также существует огромное количество вирусов. Поэтому можно сказать, что изучение вирусов на данной операционной системе является делом наиболее полезным а также эффективным.
В качестве языка разработки был выбран C#. C# является языком программирования, который разработан для создания множества приложений, работающих в среде.NET Framework. Язык C# прост, типобезопасен и объектно-ориентирован. Благодаря множеству нововведений C# обеспечивает возможность быстрой разработки приложений, но при этом сохраняет выразительность и элегантность, присущую С-подобным языкам.
В качестве среды разработки была выбрана среда Microsoft Visual Studio. Visual Studio - это полный набор инструментов и служб для создания различных приложений как для платформы Microsoft, так и для других платформ. Visual Studio также позволяет связать все ваши проекты, группы и всех заинтересованных лиц. Теперь ваша группа сможет работать более гибко практически где угодно независимо от используемого средства разработки (в том числе Eclipse и Xcode). Вы сможете разрабатывать важные приложения.NET, писать невероятно быстрый код с помощью C++ AMP или тестировать и отлаживать облачное приложение на HTML или JavaScript, которое работает на множестве устройств - присоединитесь к миллионам разработчиков во всем мире, которые выбрали Visual Studio как основную среду разработки.
Visual C# является реализацией языка C# корпорации Microsoft. Поддержка Visual C# в Visual Studio реализована в виде полнофункционального редактора кода, компилятора, шаблонов проектов, конструкторов, мастеров кода, мощного и удобного отладчика и многих других средств. Библиотека классов.NET Framework предоставляет доступ ко многим службам операционной системы и к другим полезным, хорошо спроектированным классам, что существенно ускоряет цикл разработки.
Для решения широкого круга программистских задач требуется знание внутренней структуры исполняемых файлов и представление о том, как они загружаются в память.
Во всех 32-разрядных ветках ОС Windows объектные (.OBJ), библиотечные (.LIB) и исполняемые (.EXE и.DLL) файлы хранятся в едином формате COFF (Common Object File Format), который используется некоторыми системами семейства Unix и ОС VMS.
Формат PE (Portable Executable) является специализацией COFF для хранения исполняемых модулей. Он был стандартизован Tool Interface Standard Committee (Microsoft, Intel, IBM, Borland, Watcom и др.) в 1993 г., а затем понемногу обновлялся (последнее известное мне обновление было проведено в феврале 1999 г., но оно не учитывает поддержки метаданных для.NET, добавленной в 2000 г.). Название Portable Executable связано с тем, что данный формат не зависит от архитектуры процессора, для которого построен исполняемый файл.
На сегодняшний день существует два формата PE-файлов: PE32 и PE32+. Оба они ограничивают адресное пространство программы размеров в 4 Гб (0xFFFFFFFF), но PE32 использует 32-битовые адреса (архитектура Win32), а PE32+ - 64-битовые адреса (архитектура Win64).
Большинство описанных ниже структур и констант содержатся в стандартном заголовочном файле Windows WINNT.H.
Любой PE-файл состоит из нескольких заголовков и нескольких (от 1 до 96) секций. Заголовки содержат служебную информацию, описывающую различные свойства исполняемого файла и его структуру. Секции содержат данные, которые размещаются в адресном пространстве процесса во время загрузки исполняемого файла в память.
PE-файлы являются файлами с относительной загрузкой, т.е. теоретически могут размещаться в пространстве адресов 0x00000000 - 0xFFFFFFFF с любого адреса, называемого базовым адресом. Поскольку базовый адрес заранее неизвестен, структура PE-файлов основана на понятия RVA (relative virtual address, относительный виртуальный адрес). RVA представляет собой смещение от базового адреса исполняемого файла до данного адреса. Иными словами, для получения линейного адреса в виртуальной памяти процесса нужно сложить RVA с базовым адресом.
Следует особо подчеркуть, что RVA не имеют ничего общего общего со смещениями относительно начала файла. В процессе загрузки файла каждая его секция размещается в памяти со своего RVA и при необходимости дополняется нулями до заданного размера. При этом RVA секции и ее размер в памяти, вообще говоря, никак не связаны с ее местоположением и размером в исходном файле.
Общая структура PE-файла представлена в таблице 2.1:
Подробно каждая из этих структур описана ниже.
Общее описание заголовка и заглушки DOS
Поскольку и приложения DOS, и приложения Windows имеют расширение.EXE, все исполняемые файлы Windows используют схему двойной загрузки. Она состоит в том, что файл начинается с заголовка DOS, за которым следует заглушка (stub), т.е. небольшой EXE-файл формата DOS. При попытке загрузить файл из DOS'а исполняется заглушка, а при загрузке файла из Windows загрузчик анализирует заголовок DOS и извлекает из него смещение до настоящего заголовка исполняемого файла.
ь Структура заголовка DOS называется IMAGE_DOS_HEADER. Я не буду полностью описывать заголовок DOS, т.к. нас интересуют в нем только два поля, а именно:
ь 2-байтовая (WORD) сигнатура, находящаяся по смещению 0 (e_magic) и равная «MZ» (IMAGE_DOS_SIGNATURE);
ь 4-байтовое (DWORD) смещение от начала файла до заголовка PE, находяшееся по смещению 0x3C (e_lfanew).
При загрузке PE-файла сначала нужно проверить сигнатуру DOS, затем найти смещение до заголовка PE, а затем проверить сигнатуру PE, расположенную в начале его заголовка. Эта сигнатура состоит из 4 байтов и равна «PE\0\0» (обозначение IMAGE_NT_SIGNATURE).
Такую же схему двойной загрузки используют и другие файлы (исполняемые файлы Win16 и OS/2 и VxD-драйверы Windows 9x), поэтому проверка правильности сигнатуры PE обязательна.
Обычно заглушка DOS выводит на экран сообщение типа «Эта программа требует Microsoft Windows» и заканчивает работу. Однако при сборке программы мы можем указать в командной строке сборщика любой EXE-файл DOS в качестве заглушки. Это позволяет создавать «дуальные» программы, работающие и в DOS, и в Windows.
typedef struct _IMAGE_DOS_HEADER { // DOS.EXE заголовок
USHORT e_magic; // Магическое число
USHORT e_cblp; // Количество байт на последней странице файла
USHORT e_cp; // Количество страниц в файле
USHORT e_cparhdr; // Размер заголовка в параграфах
USHORT e_minalloc; // Minimum extra paragraphs needed
USHORT e_maxalloc; // Maximum extra paragraphs needed
USHORT e_ss; // Начальное (относительное) значение регистра SS
USHORT e_sp; // Начальное значение регистра SP
USHORT e_csum; // Контрольная сумма
USHORT e_ip; // Начальное значение регистра IP
USHORT e_cs; // Начальное (относительное) значение регистра CS
USHORT e_lfarlc; // Адрес в файле на таблицу переадресации
USHORT e_ovno; // Количество оверлеев
USHORT e_res[4]; // Зарезервировано
USHORT e_oemid; // OEM identifier (for e_oeminfo)
USHORT e_oeminfo; // OEM information; e_oemid specific
USHORT e_res2 [10]; // Зарезервировано
LONG e_lfanew; // Адрес в файле нового.exe-заголовка
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;
Самым важным здесь является поле e_lfanew, которое содержит 4-байтовое смещение от начала файла до PE-заголовка. Первое поле структуры e_magic содержит сигнатуру исполняемого файла. Все MS-DOS-совместимые исполняемые файлы имеют сигнатуру 0x54AD, которая в ASCII-символах представлена двумя символами MZ. По этой причине заголовок DOS часто называют MZ-заголовком.
Заголовок PE (IMAGE_NT_HEADERS) состоит из трех частей (см. Таблицу 2.2):
IMAGE_OPTIONAL_HEADER OptionalHeader;
Заголовок PE всегда начинается с 4-байтовой сигнатуры «PE\0\0» (IMAGE_NT_SIGNATURE). За ней следуют два заголовка: заголовок файла (IMAGE_FILE_HEADER) и необязательный заголовок (IMAGE_OPTIONAL_HEADER). Несмотря на свое название, IMAGE_OPTIONAL_HEADER присутствует в PE-файле всегда (необязательным он является с точки зрения общего формата COFF, поскольку не используется в объектных и библиотечных файлах).
Заголовок файла состоит из 0x14 байтов (определение IMAGE_SIZEOF_FILE_HEADER), размещается сразу после сигнатуры и содержит общее описание файла. Он состоит из следующих полей:
Таблица 2.3 - Структура заголовка файла
Смещение до таблицы символов или 0.
Количество элементов в таблице символов.
16-битовое число, которое задает архитектуру процессора, на которой может выполняться данная программа.
32-битовое число, которое содержит дату и время создания данного файла. Формат этого поля недокументирован, однако сборщики Microsoft заносят сюда время как количество секунд от полуночи 01.01.1970 в UTC (т.е. используют юниксовский формат времени, возвращаемого функцией time языка C). Между прочим, это означает, что текущее состояние формата PE действительно только до 18.01.2038 г.
Поскольку формат этого поля недокументирован, некоторые сборщики третьих фирм сохраняют его значение в других форматах. Это может оказаться важным, т.к. данное поле используется при динамическом связывании импорта из DLL.
Поля PointerToSymbolTable и NumberOfSymbols
Согласно стандарту COFF, эти 4-байтовые поля должны обеспечивать доступ к отладочной информации в файле. Однако все известные мне сборщики заносят в них нули, а для доступа к отладочной информации используется иной способ (см. каталог отладочной информации).
16-битовое число, задающее размер необязательного заголовка. Оно равно 0xE0 для файлов PE32 (IMAGE_SIZEOF_NT_OPTIONAL32_HEADER) и 0xF0 для файлов PE32+ (IMAGE_SIZEOF_NT_OPTIONAL64_HEADER).
16-битовое поле флагов, содержащее COFF-атрибуты файла.
Необязательный заголовок имеет два различных формата: для PE32 и для PE32+. Соответствующие структуры называются IMAGE_OPTIONAL_HEADER32 и IMAGE_OPTIONAL_HEADER64. Их поля сведены в Таблице 2.4:
Таблица 2.4 - Структура необязательного заголовка
Старшая цифра номера версии сборщика. Загрузчиком не используется.
Младшая цифра номера версии сборщика. Загрузчиком не используется.
Сумма размеров всех секций, содержащих програмный код.
Сумма размеров всех секций, содержащих инициализированные данные.
Сумма размеров всех секций, содержащих неинициализированные данные.
RVA точки запуска программы. Для драйвера - это адрес DriverEntry, для DLL - адрес DllMain или нуль.
RVA начала данных программы. Ненадежное поле, загрузчиком не используется. В PE32+ отсутствует!
Предпочтительный базовый адрес программы в памяти, кратный 64 Кб. По умолчанию равен 0x00400000 для EXE-файлов в Windows 9x/NT, 0x00010000 для EXE-файлов в Windows CE и 0x10000000 для DLL. Загрузка программы с этого адреса позволяет обойтись без настройки адресов.
Выравнивание в байтах для секций при загрузке в память, большее или равное FileAlignment. По умолчанию равно размеру страницы виртуальной памяти для данного процессора.
Выравнивание в байтах для секций внутри файла. Должно быть степенью 2 от 512 до 64 Кб включительно. По умолчанию равно 512. Если SectionAlignment меньше размера страницы виртуальной памяти, то FileAlignment должно с ним совпадать.
Старшая цифра номера версии операционной системы. Загрузчиком не используется.
Младшая цифра номера версии операционной системы. Загрузчиком не используется.
Старшая цифра номера версии данного файла. Загрузчиком не используется.
Младшая цифра номера версии данного файла. Загрузчиком не используется.
Старшая цифра номера версии подсистемы.
Младшая цифра номера версии подсистемы.
Размер файла в памяти, включая все заголовки. Должен быть кратен SectionAlignment.
Суммарный размер заголовка и заглушки DOS, заголовка PE и заголовков секций, выравненный на границу FileAlignment. Задает смещение от начала файла до данных первой секции.
Исполняющая подсистема Windows для данного файла.
Размер стека стартового потока программы в байтах виртуальной памяти. При загрузке в физическую память отображается только SizeOfStackCommit байт, в дальнейшем отображается по одной странице виртуальной памяти. По умолчанию равен 1 Мб.
Начальный размер стека программы в байтах. По умолчанию равен 4 Кб.
Размер кучи программы в байтах. При загрузке в физическую память отображается только SizeOfHeapCommit байт, в дальнейшем отображается по одной странице виртуальной памяти. По умолчанию равен 1 Мб. Во всех 32-разрядных версиях Windows куча ограничена только размером виртуальной памяти и это поле, по-видимому, игнорируется.
Начальный размер кучи программы в байтах. По умолчанию равен 4 Кб.
Количество описателей каталогов данных. На текущий момент всегда равно 16.
16-битовое поле, содержащее сигнатуру заголовка. Может принимать значения (см. Таблицу 2.4):
Таблица 2.4 - Допустимые значения поля Magic
Поля MajorSubsystemVersion и MinorSubsystemVersion
16-битовые числа, указывающее ожидаемую версию Windows. В отличие от всех остальных полей с номерами версий это поле анализировалось при загрузке программ в NT 4.0 и 95. Если программа была графическим приложением и это поле не содержало версии 4.0, то считалось, что программа разработана для NT 3.51 и моделировалось поведение этой ОС (в частности, отсутствие трехмерных стилей диалогов и пр.). В настоящее время не используется и практически всегда равно 4.0.
32-битовая контрольная сумма файла. Проверяется только в Windows NT при загрузке драйверов ядра и нескольких системных DLL. Алгоритм вычисления контрольной суммы недокументирован, но для ее вычисления можно использовать системную функцию CheckSumMappedFile из библиотеки IMAGEHLP.DLL.
16-битовое число, указывающее в какой подсистеме Windows API должен исполняться данный файл. Его возможные значения представлены в таблице 2.5:
Таблица 2.5 - Допустимые значения поля Subsystem
Подсистема не требуется, используется драйверами и «родными» приложениями NT.
IMAGE_SUBSYSTEM_EFI_BOOT_SERVICE_DRIVER
Драйвер EFI, обеспечивающий загрузочный сервис.
16-битовое поле флагов, задающие дополнительные атрибуты файла. Возможные значе
Система автоматического создания сигнатур исполняемых файлов дипломная работа. Программирование, компьютеры и кибернетика.
Статья На Тему Банковский Маркетинг: Проблемы И Перспективы
Реферат по теме Гидротерапия, характеристика и способы ее применения
Контрольная работа по теме Государственная поддержка предприятий реального сектора экономики в Украине в условиях ее интеграции в ВТО и ЕС
Сочинение Про Дерево 6 Класс
Реферат по теме Гражданское право РСФСР в период НЭПа
Стругацкие Собрание Сочинений В 12 Томах Купить
Мини Сочинение По Творчеству Пушкина
Реферат: Современные методики исследования психогенетики человека
Реферат На Тему Формы Государственного Управления
Оценка Соответствия Реферат
Реферат: Дополнительные дисковые утилиты
Курсовая работа: Формы общественного хозяйства
Какие События Влияют На Судьбу Человека Сочинение
Учебное пособие: Постійні запам’ятовувальні пристрої
Урок Структура Сочинения Рассуждения 8 Класс
Примеры Любви Для Сочинения
Дневник Производственной Практики Медика
Курсовая работа по теме Выбор системы электроснабжения промышленного предприятия
Дипломная работа: Совершенствование организации управленческого труда в организации
Курсовая работа по теме Оценка показателей финансового состояния предприятия
Управління інноваційним розвитком підприємств - Менеджмент и трудовые отношения автореферат
Противогрибковые средства - Медицина презентация
Апелляционное производство в арбитражном процессе - Государство и право курсовая работа