WindowsPE文件格式.pptVIP

第三章 Windows PE格式 内容 PE文件 相关术语 PE文件格式详解 Windows病毒原理 1. PE文件 PE(Portable Executable)是Win32可执行文件的标准格式,如*.EXE、*.DLL、*.OCX等，都是PE格式 病毒籍EXE文件被执行时传播，Win32病毒感染文件时，基本上将EXE文件作为目标 Win32病毒运行流程 Win32病毒运行流程 ①用户点击或系统自动运行HOST程序； ②装载HOST程序到内存； ③由PE文件的AddressOfEntryPoint加ImageBase之和，定位第一条语句的位置(程序入口)； ④从第一条语句开始执行(其实是病毒代码)； ⑤病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； ⑥HOST程序继续执行。 问题 计算机病毒怎会在HOST程序之前执行？ 3. PE文件结构 P E 文 件 总 体 层 次 结 构 3.1 DOS头与DOS插桩程序 DOS头与DOS插桩程序 PE结构中紧随MZ文件头之后的DOS插桩程序(DOS Stub) IMAGE_DOS_HEADER结构识别一个合法的DOS头 该结构的e_lfanew(偏移60，32bits)成员定位PE开始的标志0“PE\0\0”) 病毒通过“MZ”、“PE”这两个标志，初步判断当前程序