计算机病毒及其防范技术（第2版） 978-7-302-25452-2 第4章 传统计算机病毒-补充知识新.pptVIP

第四章 传统计算机病毒——补充知识 上海交通大学信息安全工程学院 刘功申 推荐参考资料 学习本章前，建议学习并掌握PE可执行文件的结构及运行原理。 推荐参考罗云彬编著的《Windows环境下32位汇编语言程序设计》第2版。 １PE文件结构及其运行原理 (1)PE文件格式总体结构 PE（Portable Executable：可移植的执行体） 是Win32环境自身所带的可执行文件格式。 它的一些特性继承自Unix的Coff(Common Object File Format)文件格式。 可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。 当然，移植到不同的CPU上PE执行体必然得有一些改变。 除VxD和16位的Dll外，所有 win32执行文件都使用PE文件格式。因此，研究PE文件格式是我们洞悉Windows结构的良机。 PE文件结构总体层次分布 所有 PE文件必须以一个简单的DOS MZ header开始。有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。 DOS stub实际上是个有效的EXE，在不支持 PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。