淺談可執行文件格式發展歷程

劉欣宜

（云南大學軟件學院，650500）

淺談可執行文件格式發展歷程

劉欣宜

（云南大學軟件學院，650500）

文章針對軟件安全基礎的Windows可執行文件四個發展過程下的可執行文件格式展開研究性分析。引入可執行文件格式概念并簡要介紹MZ、NE、LE、PE格式，選取DOS系統下的com格式和MZ格式以及另外的PE格式進行深入探討，區分異同進行比較。同時談及病毒感染概念，對其原理進行詳盡解釋。本文對于計算機基礎知識和軟件原理的鞏固掌握以及軟件安全領域的深入研究挖掘具有重大的參考價值和宏觀指導意義。

軟件安全；可執行文件格式；感染原理及預防

0　引言

隨著社會科學的進步以及計算機技術的飛速發展，當今社會逐步走向信息化，軟件的開發和應用走進大眾生活的方方面面。在信息技術提高國民生活水平，促進社會進步的同時，軟件安全也逐漸成為當今社會高度關注的話題。病毒感染、黑客非法入侵都對軟件安全造成了巨大的威脅。提高軟件安全機制，增強軟件安全相關技能需要從根本上掌握軟件等一系列相關知識。本質上對于提高知識水平的迫切需要體現出可執行文件及可執行文件格式掌握的必要性。熟知Com格式、MZ格式以及PE格式存儲執行原理，并對入侵感染原理熟練掌握，才能在根本上防止一系列非法操作。實現對軟件的保護和軟件安全性的捍衛，是每一位軟件安全工作者義不容辭的責任。

1　Windows可執行文件格式發展

Windows操作系統從最初僅僅是MS-DOS模擬環境的桌面操作系統逐步更新升級為如今最受大眾喜愛的操作系統。在Windows操作系統下，Windows可執行文件經歷了分別為DOS、Win3.x、Win3.x和Win9x以及Win9x和WinNT/2000/XP四個發展階段。每個發展階段都對應在相應的可執行文件格式。在以上四個過程出現的MZ格式、NE格式、LE格式以及PE格式提供了不同的可執行文件方式。在這四個Windows可執行文件格式中，MZ格式和NE格式屬于Win16，PE格式屬于Win32，而LE格式則是可以兼容Win16和Win32的操作系統。其中MZ格式主要以.com和.exe為擴展名，LE為線性可執行文件，用于虛擬設備驅動程序，可驅動鍵盤鼠標等虛擬程序。PE指的是具有用來提供函數調用的輸出表的可移動可執行文件，其中可移動不是指跨平臺，而是指與系統無關，針對于同一種操作系統下的任何設備均可使用的文件，經過不斷完善發展，成為具有較高優越性的可執行文件格式。

2　COM格式

COM格式文件執行單任務，及在cmd窗口下只能執行一個程序。其規定最大內存空間為64K，因此該格式只能有一個段碼，所用信息必須放入同一個段中。在COM格式文件中最大的問題就是該格式沒有重定位信息，因此可能會引起程序的崩潰。重定位指的是在裝入程序的過程中對目標程序中的指令和數據進行修改，即在規定保存空間被操作系統或其他程序使用的時候為相關變量重新分配保存空間。例如在執行A.EXE可執行文件同時調用1.dll和2.dll動態鏈接庫，而其所設定的變量均指定偏移地址為1000H的保存空間，需要為其中一個變量重新分配空間。

在COM格式文件中包含程序二進制代碼的絕對映像，使得該文件格式可以將信息完全相同地從硬盤拷貝到內存之中。該絕對映像占用連續的內存空間，不能使用分離的空間進行保存，因此可能在執行文件過程中提示內存空間不足。

執行COM格式文件首先需要分配內存，由于COM格式只能位于一個段中，因此下一步需要尋找一段內存為64K的空間裝載程序，在該段中程序段前綴PSP確定文件執行時所用的運行環境，占用256個字節，堆棧占用256個字節，實際剩下最大內存為65024個字節的空間供程序使用。準備好存儲空間后運用COMMAND.COM提供的EXEC對其進行裝載，在CS:IP指定的內存空間執行第一條指令，實現COM格式文件的執行操作。

3　MZ格式

MZ格式可執行文件中將代碼劃分為MZ文件頭、重定位表以及二進制代碼三大塊進行保存。其中MZ文件頭規定執行文件的入口地址，可通過設置SS、SP、CS、IP的取值進行修棧，從而實現重定位。二進制代碼相當于機器指令，經過編譯鏈接，用于檢查語法錯誤以及創建相應的數據結構。

COM格式與MZ格式均含有16位程序的二進制代碼。但與COM格式相比，MZ格式具有了重定位功能，在硬盤文件映射到內存文件的過程中采用相對映射，使得代碼保存地址在硬盤和內存中可能不同。COM格式文件為一段連續的代碼，不能進行分塊保存，在硬盤文件采用絕對映射方式映射到內存文件中時保存為PSP程序段前綴與二進制編碼兩段的形式，該格式在執行時只能放入指定的內存空間中，較為死板。而MZ格式文件分三塊進行保存，相對映射后在內存文件中依然為三段形式，代碼保存在第三個模塊及二進制代碼處。此外由于已經具備MZ文件頭，因此不再需要添加PSP程序段前綴。DOS可以將其裝載到任意位置，相對來說較為靈活。

4　PE格式

PE格式譯為可移植的可執行文件，與COM格式和MZ格式不同，其內含32位程序代碼和數據，將COM格式和MZ格式中的二進制編碼塊進行了區分和細化。與其他格式相比，其具有的顯著優點在于PE格式含有用來提供函數調用的輸出表Exports，用來提供編寫程序時所有系統函數或自定義函數。

PE格式中涉及到了地址關聯概念。硬盤文件中某條指令映射到4G虛擬內存空間中相應位置，在虛擬內存處執行指令時，指令所涉及的相關變量通過地址關聯在硬盤中找到相應存儲位置，使得指令得以執行。

在硬盤文件到虛擬內存的映射過程中，指令的偏移地址可能發生變化，這是由保存粒度決定的。正常情況下，指令在虛擬內存中的偏移地址會大于其在硬盤中的偏移地址。硬盤以扇區（512字節）為單位為可執行文件分配保存空間，而虛擬內存以頁面（1024字節）為單位為可執行文件分配保存空間，其不同的保存粒度，決定了指令映射后在硬盤和虛擬內存中的偏移地址可能不同。但在Windows系統下，PE文件只進行了地址關聯，并未對相關內容作出改變，因此其在磁盤和內存中的數據結構布局始終是相同的。

5　感染原理及防范措施

在虛擬內存中，系統以頁面為單位為程序分配相應的保存空間。但由于連續代碼段占用空間小于分配頁面，因此會形成小字節的空白空間。感染的基本原理即為在不修改程序原來內容的前提下，在小字節空白空間中寫進例如病毒等非法指令，之后想辦法在代碼段區域中找到jmp指令，修改該跳轉指令，使程序在執行時跳轉到相應裝載有非法指令的小字節空白空間，從而實現感染。

由感染最基本的原理可得知，防止感染最有效的方法在于去掉小字節空白空間，即將多個空白空間進行合并，合并為大塊內存空間，使得計算機得以為大塊區域分配內存空間。從而引入壓縮殼的概念，將exe可執行文件進行壓縮。

6　結論

在軟件安全領域，可執行文件做為操作系統最為重要的文件類型之一以及完成各項操作的真正執行者，需要被每一位軟件專業從事人員熟練掌握。本文結合Windows可執行文件這一概念，簡述了MZ、NE、LE、PE格式發展歷程，并對com格式、MZ格式以及PE格式進行了詳細性說明并探索性研究分析了感染的基本原理。本文明確了在可執行文件下，可執行文件格式的重要性，文件格式之間的對比也使得高深復雜的理論知識變得淺顯易懂。文章對于編寫高性能程序，探求新的軟件保護方法，更好地維護軟件安全具有不可忽視的意義。

［1］邵麗平：基于PE文件格式的信息隱藏技術.2005

［2］秦志光 張鳳荔《計算機病毒原理與防范》人民郵電出版社2007

［3］趙東方：基于殼技術的軟件保護技術研究.2009

［4］陳旋，淺談關于軟件安全測試方法研究［J］，電腦知識與技術，2009

A discussion on the development of the executable file format

Liu Xinyi
（yun nanUniversitySoftware Institute，650500）

In this paper，the research on the executable file format under the four development process of the Windows executable file for the software security foundation is studied. Introduce the concept of executable file format and briefly introduce the MZ，NE，LE，PE format，select the DOS system under the com format and MZ format and the PE format for in-depth discussion，the distinction between the similarities and differences.At the same time talking about the concept of virus infection，the principle of a detailed explanation.In this paper，the basic knowledge of the computer and the principles of the software and the consolidation of the field of software security research and development of a significant reference value and macro guidance.

software security；executable file format；infection principle and Prevention