信息安全课件病毒在pe文件中的寄生和感染.pdfVIP

病毒在PE文件中的寄生和感染 主讲人：裴士辉 e_mail: shihui_pei @ 电话 病毒在PE文件中的寄生和感染 PE文件的结构 RVA 装载器对节的装入过程 PE文件到内存的映射 动态获取API入口地址 在PE文件上添加代码 CIH病毒在PE文件中的寄生和感染 1 PE文件的结构 Portable Executable File Format 可移值的执行体 是在Windows 9X, Windows NT, Windows 2000下，微软 为32位可执行文件设计的格式 PE文件的基本结构 节数据 节表 PE文件头 DOS部分 DOS部分 DOS 部分 DOS Stub IMAGE_DOS_HEADER 2 IMAGE_DOS_HEADER STRUCT e_magic WORD ? ;dos可执行文件标志”MZ” e_cblp WORD ? e_cp WORD ? e_crlc WORD ? e_cparhdr WORD ? e_minalloc WORD ? e_maxalloc WORD ? e_ss WORD ? e_sp WORD ? e_csum WORD ? e_ip WORD ? e_cs WORD ? e_lfarlc WORD ? e_ovno WORD ? e_res WORD 4 dup(?) e_oemid WORD ? e_oeminfo WORD ? e_res2 WORD 10 dup(?) e_lfanew DWORD ? ；指向PE文件头 IMAGE_DOS_HEADER ENDS DOS Stub DOS部分的可执行代码 简单地显示: “This program cannot be run in DOS mode” 然后退出 3 PE文件头 IMAGE_NT_HEADERS STRUCT Signature DWORD FileHeader IMAGE_FILE_HEADER OptionalHeader IMAGE_OPTIONAL_HEADER32 IMAGE_NT_HEADERS ENDS 其中PE文件头的第一个双字是一个标志： 既”P”,”E”加上两个0 IMAGE_FILE_HEADER Struct Machine WORD ? ;0004h-远行平台 NumberOfSections WORD ? ;0006h-文件的节数目 TimeDateStamp DWORD ? ;0008h-文件创建日期和时间 PointerToSymbol