chp5Windows病毒报告范本.ppt

Windows病毒分析 计算机病毒原理－第五章 5.1 PE病毒原理 Windows操作系统 当前计算机病毒的主要滋生环境和攻击对象 相对于DOS病毒结构更复杂，技巧型更强 纯粹的引导型病毒比较少见（并非不存在） 混合型病毒也比较少见 主要为PE病毒、脚本病毒、宏病毒 PE病毒 感染PE格式文件的Win32病毒 Win32可执行文件*.EXE、*.DLL、*.OCX等 数量极多，破坏性极大，技巧型最强 5.1 PE病毒原理 PE病毒需要的基本功能 重定位 截获API函数地址 搜索感染目标文件 内存文件映射 实施感染 5.1.1 PE文件结构及其运行原理 Portable Executable（可移植的执行体） Win32环境自身所带的可执行文件格式 一些特性继承自Unix的Coff文件格式 任何Win32平台的PE装载器都能识别和使用该文件格式 除VxD和16位dll外所有Win32执行文件都使用PE文件格式 PE文件结构总体层次分布图 PE文件结构 DOS MZ header 所有PE文件必须以此开始 程序在DOS下执行时DOS能识别出这是有效的执行体 DOS stub 实际上是一个有效的EXE 在不支持PE文件格式的操作系统中，它将简单显示一个错误提示 类似于字符串“该程序不能在DOS模式下运行” 或者程序员可根据自己的意图实现完整的DOS代码 PE文件结构 PE header