PE病毒的入侵途径和防治措施.docVIP

PE病毒的入侵途径和防治措施 [摘 要]由于windows操作系统的广泛使用，pe病毒已经成为当前危害计算机安全的主要病毒之一。针对传播最广泛、危害最大、使用了多态变化技术的windows pe文件病毒的pe病毒，本论文详细的分析了windows pe文件结构及pe病毒的入侵原理，针对windows pe病毒的特点，提出了windows pe文件病毒的防御思想，即在病毒传播时期就把其拒之于系统之外,使其失去寄宿生存的空间,再配合一般的杀毒技术,可以有效的防杀windows pe病毒,使系统的安全性和稳定性大大提高，最后有针对性地提出对pe病毒预防的多种有效策略，从而为防毒、杀毒提供必要的理论依据。 [关键词]pe病毒 入侵途径 防治措施 计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面。计算机病毒一般都具有潜伏传染激发破坏等多种机制，但其传染机制反映了病毒程序最本质的特征，离开传染机制，就不能称其为病毒。因此，监控和及时发现计算机病毒的传染行为，是病毒制造者和安全专家的争夺焦点。目前主流的操作系统是windows操作系统，利用windows操作系统中存在的漏洞和系统程序接口，病毒可轻易获取控制权，感染硬盘上的文件，并进行破坏。因此计算机病毒入侵途径和防治研究显得尤为重要。 病毒要在windows操作系统上实现其感染目的是要获得系统的控制权，而感染可执行文件时取得控制权的最好途径。在windows nt/xp/2000/98/95等系统下，可执行文件和动态链接库均采用的是pe文件格式。只有透彻研究了pe的文件格式，才能了解病毒如何寄生在文件中，才能有的放矢的采取对策以检测和制止病毒的入侵。在各种病毒中，又以pe病毒数目最大，传播最广，破坏力最强，分析pe病毒有非常重要的意义。因此本文将重点介绍pe病毒的入侵途径和防治措施。 一、pe病毒 1.pe病毒的定义 一个正常的程序感染后，当你启动这个程序的时候，它通常会先执行一段病毒代码，然后自身运行，这样病毒就悄无声息的运行起来，然后再去感染其他pe文件，这就是pe病毒的行为。 2.pe病毒的特征 (1)具有感染性。该类病毒通过感染普通pe.exe文件并把自己的代码加到exe文件的尾部，修改原程序的入口点以指向病毒体，病毒本身没有什么危害，但是被感染的文件可能被破坏而不能正常运行。 (2)潜伏性。指病毒依附于其他文件而存在，即通过修改其他程序而把自身的复制品嵌入到其他程序中。 (3）可触发性。即在一定的条件下激活这类病毒的感染机制使之进行感染。 (4)破坏性。病毒一旦感染其他文件，病毒本身没什么危害，但是会导致被感染的文件丢失数据或被破坏而不能正常运行。 3.pe文件格式 在pe文件格式中有一个重要的概念相对偏移量（rav），rav是虚拟空间中某句代码到参考点的一段距离。例如，如果pe文件装入虚拟地址（va）空间的400000h处，且进程从虚拟401000h开始执行，就可以说进程执行起始地址在rva1000h。pe文件格式用到rva的原因是为了减少pe装载器的负担，因为每个模块都有可能被重载到任何虚拟地址空间。 pe文件格式被组织为一个线性的数据流，他由一个ms-dos头部开始，接着是实模拟程序残余以及一个pe文件标识，之后紧接着pe文件头和可选头部。这些之后是所有的段头部，断头不之后跟随者所有的段实体。文件的结束处事一些其它的区域，其中是一些混杂的信息，包括重分配信息、符号表信息、行号表信息以及字符串数据。如图： (1)ms-dos头部、实模式头部 如上所述，pe文件格式的第一个组成部分是ms-dos头部。保留这个相同的结构的最主要原因是：当在windows3.1一下或ms-dos2.0以上的系统下装在一个文件的时候，操作系统能够读取这个文件并明白是和当前系统不相兼容的。 它的第一域e_magic,被称为魔术数字，它被用于表示一个ms-dos兼容的文件类型。所有ms-dos兼容的可执行文件都将这个值设为0x5a4d，表示ascii字符mz。ms-dos头部之所以有的时候被称为mz头部，就是这个缘故。还有许多其它的域对于ms-dos操作系统来说都有用，但是对于windows nt来说，pe结构中只有一个有用的域—最后一个域e_lfnew，一个4字节的文件偏移量，pe文件头部就是由它定位的。对于windows nt的pe文件来说，pe文件头部是紧跟在ms-dos头部和实模式程序残余之后的。 (2)实模式残余程序 实模式残余程序是一个转载时能够被ms-dos运行的实际程序。对于一个ms-dos的可执行映像文件，应用程序就是从这里执行的。对于windows、os/2、windows nt这些操作系统来说，ms-dos残余程序就