运行时压缩

一.数据压缩

对于数据压缩都比较熟悉，下面简单梳理一下相关知识。数据压缩(Data Compression )是计算机工程的主要研究内容，经过数十年发展已经有了深入研究，今后还会不断出现更多、更好的算法。如果日常生活中能够非常容易地压缩某个物体该多么方便啊!也就不再需要仓库、停车场、集装箱了，当然，得能压缩才行。而在数码世界,(只要不是压缩过的信息）任何信息都能轻松压缩。不论哪种形态的文件（数据）都是由二进制(0或1 )组成的，只要使用合适的压缩算法，就能缩减其大小。

经过压缩的文件若能100%恢复，则称该压缩为“无损压缩”(Lossless DataCompression );若不能恢复原状，则称该压缩为“有损压缩”( Loss Data Compression )。

1.无损压缩

无损压缩用来缩减文件（数据)的大小，压缩后的文件更易保管、移动。使用经过压缩的文件之前，需要先对文件解压缩（此过程中应该保证数据完整性)。
各位肯定用过类似7-zip、“面包房”的压缩程序，用它们压缩文件就是无损压缩算法。最具代表性的无损压缩算法有Run-Length、Lempel-Ziv、Huffman等。此外还有许多其他压缩算法，它们都是在上面3种压缩算法的基础上改造而成的。只要准确理解了上面3种，就能轻松掌握其他各种压缩算法。ZIP、RAR等是具有代表性的压缩文件格式，它们最根本的压缩理念也是Run-Length、Lempel-Ziv、Huffman，然后应用了一些各自特有的技术（压缩率、压缩/解压时间)。

2.有损压缩

相反，有损压缩允许压缩文件（数据)时损失一定信息，以此换取高压缩率。压缩多媒体文件(jpg、mp3 、mp4)时，大部分都使用这种有损压缩方式。从压缩特性来看，有损压缩的数据解压缩后不能完全恢复原始数据。人类的肉眼与听觉几乎无法察觉到这些多媒体文件在压缩中损失的数据。经过有损压缩后，虽然压缩文件与原文件(从数据层面上看)存在差异，但重要的是人们几乎区分不出这种微小的差别。以mp3文件为例，mp3的核心算法通过删除超越人类听觉范围(20~20000Hz）的波长区段来缩减（不需要的)数据大小。

二.运行时压缩器

顾名思义，运行时压缩器是针对可执行(PE，Portable Executable)文件而言的，可执行文件内部含有解压缩代码，文件在运行瞬间于内存中解压缩后执行。运行时压缩文件也是PE文件，内部含有原PE文件与解码程序。在程序的EP代码中执行解码程序，同时在内存中解压缩后执行。

与普通压缩器相比，运行时压缩器的一个明显不同是“PE文件的可运行性”。把普通PE文件创建成运行时压缩文件的实用程序称为“压缩器”( Packer )，经反逆向( Anti-Reversing)技术特别处理的压缩器称为保护器(Protector )。

1.压缩器

PE压缩器是指可执行文件的压缩器，准确一点应该称为“运行时压缩器”，它是PE文件的专用压缩器。

1.使用目的

●缩减PE文件的大小
文件尺寸小是其突出的优点之一，更便于网络传输与保存。●隐藏PE文件内部代码与资源
使用压缩器的另一个原因在于，它可以隐藏PE文件内的代码及资源（字符串、API名称字符串)等。压缩后的数据以难以辨识的二进制文件保存，从文件本身来看，这能有效隐藏内部代码与资源（当然解压缩后可以通过内存的Dump窗口查看)。

2.使用现状

运行时压缩的概念早在DOS时代就出现了，可当时并未广泛使用。因为那时的PC速度不怎么快，每次执行文件时，解压缩的过程会引起很大的系统开销。而现在的PC速度已经变得非常快，用户不能明显察觉运行时压缩文件与源文件在执行时间上的差别。因此，现在的实用程序、“打补丁”文件、普通程序等都广泛应用运行时压缩。

3.压缩器种类

PE压缩器大致可分为两类:一类是单纯用于压缩普通PE文件的压缩器;另一类是对源文件进行较大变形、严重破坏PE头、意图稍嫌不纯的压缩器。这里说的“意图不纯的压缩器”是指专门用于恶意程序(如:Virtus、Trojan、Worm等)的压缩器。

目的纯粹的压缩器(未经VirusTotal诊断):UPX、ASPack等.
目的不纯的压缩器(经VirusTotal诊断):UPack、 PESpin、NSAnti等。

三.保护器

PE保护器是一类保护PE文件免受代码逆向分析的实用程序。它们不像普通的压缩器一样仅对PE文件进行运行时压缩,而应用了多种防止代码逆向分析的技术(反调试、反模拟、代码混乱、多态代码、垃圾代码、调试器监视等)。这类保护器使压缩后的PE文件尺寸反而比源文件要大一些，调试起来非常难。
详细分析保护器需要丰富的逆向分析经验。当然，网络上提供了各种解除保护器的技巧，运气好的话，即便是新手也可能顺利找到源文件的OEP ( Original Entry Point，原始入口点)，但大多数情况没这么幸运。

1.使用目的

·防止破解
相信没人愿意自己编写的程序被非法破解并使用。此时使用保护器可有效保护PE文件。●保护代码与资源保护器不仅可以保护PE文件本身，还可在文件运行时保护进程内存，防止打开Dump窗口。因此，使用保护器可以比较安全地保护程序自身的代码与资源。

2.使用现状

这类保护器大量应用于对破解很敏感的安全程序。比如安装在线游戏时会自动安装安全保护程序，游戏安全保护程序就是为了防止游戏“破解工具”运行的。
恶意的游戏破解者总是想方设法破解游戏的安全保护程序，因为破解成功后他们可以利用“游戏内核”获取金钱回报。所以，安全保护程序为了防止恶意破解而使用各种保护器来保护自己（不断更换保护器会让游戏破解者们发疯)。
另一方面，常见的恶性代码(Trojan、Worm)中也大量使用保护器来防止(或降低)杀毒软件的检测。有些保护器还能提供“多变的代码”,每次都会生成不同形态（但功能相同)的代码,这给病毒诊断带来很大困难。

3.保护器种类

保护器种类多样，有公用程序、商业程序,还有专门供恶意代码使用的保护器。

保护器分类
商用保护器:ASProtect. Themida、SVKP等。 公用保护器:UltraProtect、Morphine等。