數據壓縮

1. 經過壓縮的文件若能100%恢復，則稱該壓縮為"無損壓縮",若不能恢復原狀，則稱該壓縮為有損壓縮。
2. 無損壓縮用來縮減文件的大小，壓縮后的文件更易保管、移動，使用經過壓縮的文件之前，需要先對文件解壓縮。
3. 有損壓縮允許壓縮文件時損失一定信息，以此換取高壓縮率，壓縮多媒體文件時，大部分都是用這種有損壓縮方式，從壓縮特性來看，有損壓縮的數據壓縮后不能完全恢復原始數據，人類的肉眼與聽覺幾乎無法覺察到這些多媒體文件在壓縮時中損失的數據。

運行時壓縮器

1. 運行時壓縮器是針對可執行文件而言的，可執行文件內部還有解壓縮代碼，文件在運行瞬間于內存中解壓縮后執行。
2. 運行時壓縮文件也是PE文件，內部含有原PE文件于解碼程序，在程序的EP代碼中執行解碼程序，同時在內存中解壓縮后執行。
3. 把普通PE文件創建成運行時壓縮文件的使用程序稱為壓縮器，經反逆向技術特別處理的壓縮器稱為保護器。

壓縮器

1. 使用目的

• 縮減PE文件的大小
• 隱藏PE文件內部代碼于資源

2. 壓縮器的種類

• PE壓縮器大致可分為兩類：一類是單純用于壓縮普通文件的壓縮器；另一類是對源文件進行較大變性、嚴重破壞PE頭、意圖稍顯不純的壓縮器。

保護器

1. PE保護器是一類保護PE文件免受代碼逆向分析的使用程序，它們不想普通的壓縮器一樣僅對PE文件進行運行時壓縮，而應用了多種防止代碼逆向分析技術（反調試、反模擬、代碼混亂、多態代碼、垃圾代碼、調試器監控等。），這類保護器使壓縮后的PE文件尺寸反而比源文件要大一些，調試起來非常難。
2. 使用目的

• 防止**
• 保護代碼與資源

3. 使用現狀

• 這類保護器大量應用于對**很敏感的安全程序，比如安裝在線游戲時會自動安裝安全保護程序，游戲安全保護程序就是為了防止游戲**工具運行的。
• 常見的惡意代碼中也大量使用保護器來防止殺毒軟件的檢測。

運行時壓縮測試

1. 以notepad.exe為例進行運行時壓縮測試。

C:\Users\12586\Downloads\example\02\14\bin>upx -o notepad_upx.exe notepad.exe
                       Ultimate Packer for eXecutables
                          Copyright (C) 1996 - 2008
UPX 3.03w       Markus Oberhumer, Laszlo Molnar & John Reiser   Apr 27th 2008

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
     67584 ->     48128   71.21%    win32/pe     notepad_upx.exe                                                                                                                                                                                Packed 1 file.

• 可以看到壓縮后的文件尺寸明顯減小了（67584 -> 48128),若使用ZIP壓縮，則文件大小縮減為35231，也就是說，運行時的壓縮率要比普通的ZIP壓縮低一些，這是由于其壓縮后得到的是PE文件，需要添加PE頭，并且還要放入解壓縮代碼。
• Compare notepad.exe and notepad_upx.exe
  
• PE頭大小一樣（0~400h）。
• 節區名稱改變（".text" -> “UPX0”, “.data” -> “UPX1”)
• 第一個節區的RawDataSize = 0
• EP位于第二個節區，原來notepad.exe的EP在第一個節區。
• 資源節區大小幾乎沒有變化。
  
• 需要注意的是第一個節區的VirtualSize（在內存中的大小）的值被設置為1000，而SizeOfRawData的值為0（在磁盤中的大小），這就說明，解壓縮代碼與壓縮的源代碼都在第二個節區，文件運行時首先執行解壓縮代碼，把處于解壓縮狀態的源代碼解壓到第一個節區，解壓過程結束后即運行源文件的EP代碼。