这篇BLOG是我很早以前写的,因为现在搬移到CNBLOGS了,经过整理后重新发出来。
工作之前的几年一直都在搞计算机安全/病毒相关的东西(纯学习,不作恶),其中PE文件格式是必须知识。有些PE文件,比如驱动,系统会在加载时对checksum进行校验,确保驱动文件的完整性。关于PE文件如何校验,网上有很多资料可以学习,这里有一篇文章《An Analysis of the Windows PE Checksum Algorithm》是对WINDOWS API CheckSumMappedFile进行逆向分析的。文章的结尾提到WINDOWS的这个校验和算法和IP协议的校验和算法类似,IP的校验和算法实现是RFC1071,如果对其他的校验和算法感兴趣,可以阅读WIKI的《Error Detection and correction》。
但是CheckSumMappedFile的实现略显复杂,不够直观,后来读WRK的代码时,发现了WINDOWS内核在加载驱动时实现的校验和算法要简洁直观很多,分享给大家:
uint32_t calc_checksum(uint32_t checksum, void *data, int length) { if (length && data != nullptr) { uint32_t sum = 0; do { sum = *(uint16_t *)data + checksum; checksum = (uint16_t)sum + (sum >> 16); data = (char *)data + 2; } while (--length); } return checksum + (checksum >> 16); } uint32_t generate_pe_checksum(void *file_base, uint32_t file_size) { uint32_t file_checksum = 0; PIMAGE_NT_HEADERS nt_headers = ImageNtHeader(file_base); if (nt_headers) { uint32_t header_size = (uintptr_t)nt_headers - (uintptr_t)file_base + ((uintptr_t)&nt_headers->OptionalHeader.CheckSum - (uintptr_t)nt_headers); uint32_t remain_size = (file_size - header_size - 4) >> 1; void *remain = &nt_headers->OptionalHeader.Subsystem; uint32_t header_checksum = calc_checksum(0, file_base, header_size >> 1); file_checksum = calc_checksum(header_checksum, remain, remain_size); if (file_size & 1){ file_checksum += (uint16_t)*((char *)file_base + file_size - 1); } } return (file_size + file_checksum); }