计算机病毒及其防范技术 教学课件 作者 978-7-302-16923-9 第三章 计算机病毒结构分析2).pptVIP

第三章 计算机病毒结构分析(2);（6）引入表（Import Table）;１５个成员;;;FirstThunk与OriginalFirstThunk区别;;;;;列出某个PE文件的所有引入函数的步骤：;;（7）引出表（Export Table）;;;;;根据引出函数名，怎样来获取其地址呢？;IMAGE_EXPORT_DIRECTORY结构的nBase成员 ;根据函数序数获取函数地址的步骤 ;通过名字和序号访问的比较;;;;;;;２Win32文件型病毒编制技术;2.1病毒的重定技术;;举例介绍;编译文件(假设);如果被定位;2.2获取API函数;a） 利用程序的返回地址，在其附近搜索Kernel32的基地址 ;;例子;b）对相应操作系统分别给出固定的Kernel32模块的基地址;GetAPI;3.3 文件搜索 ;;3.5内存映射文件;应用步骤;3.5病毒如何感染其他文件;病毒感染其他文件的步骤;7．开始写入节表 a）写入节名（8字节）。 b）写入节的实际字节数（4字节）。 c）写入新节在内存中的开始偏移地址（4字节），同时可以计算出病??入口位置。 上一个节在内存中的开始偏移地址+（上一个节的大小/节对齐+1）*节对齐=本节在内存中的开始偏移地址。 d）写入本节（即病毒节）在文件中对齐后的大小。 e）写入本节在文件中的开始位置。 上节在文件中的开始位置+上节对齐后的大小=本节（即病毒）在文件中的开始位置。 f）修改映像文件头中的节表数目。 g）修改AddressOfEntryPoint（即程序入口点指向病毒入口位置），同时保存旧的AddressOfEntryPoint，以便返回宿主并继续执行。 h）更新SizeOfImage（内存中整个PE映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小）。 i）写入感染标记（后面例子中是放在PE头中）。 j）在新添加的节中写入病毒代码。 ECX =病毒长度 ESI =病毒代码位置（并不一定等于病毒执行代码开始位置） EDI =病毒节写入位置 k）将当前文件位置设为文件末尾。;3.6如何返回到宿主程序;;;步骤0(预备)：;;提示用户是否观看感染过程，如下图： ;步骤3： ;步骤4： ;步骤5： ;步骤6： ;步骤7： ;步骤8： ;步骤9： ;步骤10： ;步骤11： ;步骤12： ;步骤12： ;步骤12： ;步骤12： ;步骤12： ;步骤13： ;步骤14： ;步骤15： ;步骤16： ;步骤17： ;步骤18： ;３从ring3到ring0概述;;