第5章 文件型病毒PPT课件.pptx

计算机病毒技术第5章 Windows文件型病毒内容提要概述宏病毒PE病毒概述所有通过操作系统的文件系统进行感染的病毒都称作文件型病毒数据文件PE文件文件型病毒典型的载入内存和传播方式被感染的程序运行，病毒控制后台如果病毒常驻内存，则监视文件运行和系统调用，满足感染条件时进行感染如果不常驻内存，则选择某个特殊的文件进行感染，取得文件控制权宏病毒宏的概念宏病毒的概念、原理和实例宏病毒的预防与清除宏病毒的正向应用宏病毒原理../../../演示/5宏病毒/2宏病毒原理/宏事件演示Word../../../演示/5宏病毒/2宏病毒原理/宏事件演示宏事件普通宏自动宏宏病毒原理转换成文档模板的宏 感染其它Word文档 改写Word宏当宏病毒获得运行权限之后，执行宏指令，把宏病毒复制到Normal模板之中 改写特定的文档宏，如AutoOpen等当其它的Word文件打开时，由于自动调用模板因而会自动运行宏病毒导致被感染 15写入激活自动宏激活病毒有毒文件.doc无毒文件.docNormal.dotNormal.dot启动宏病毒原理宏病毒实例../../../演示/5宏病毒/3宏病毒实例代码宏病毒的触发宏病毒的传播宏病毒的破坏演示（实验2/实践题）宏病毒的预防与清除预防：宏的安全性设置清除：从模板着手杀软宏病毒的正向应用宏的合理合法应用PE病毒PE含义PE病毒演示PE文件结构PE病毒实例介绍基于PE病毒的正向应用PE含义PE——Portable Executable基于WindowsNT架构的可执行文件，如EXE、DLL、SYS、OCX、COM等，都是PE文件从第一个NT操作系统诞生至今的19年，操作系统发生巨大变化，但是对PE格式的影响并不大PE有较好的数据组织方式和数据管理算法PE的数据组织是大量的字节码与数据结构的有机融合PE病毒演示../../../演示/5PE病毒（32bit）/修改图标.rar图标../../../演示/5PE病毒（32bit）/修改图标.rar修改../../../演示/第4讲%20文件型病毒（32bit）/PE文件感染.rar文件感染PE文件结构PE文件使用一个地址空间把所有代码和数据都合并在一起，组成一个很大又比较复杂的数据结构由四部分组成DOS部分PE文件头节表节数据PE文件格式节PE文件的真正内容划分成块，称之为sections，节每节是一块拥有共同属性的数据，是PE文件中代码或数据的基本单元在PE文件中，代码、已初始化的数据、资源和重定位信息等数据被按照属性分类放到不同的Section（节）中PE文件格式节表每个节的属性和位置等信息用一个特定结构来描述所有节的结构组成一个节表（Section Table）节表数据在PE文件中放在所有节数据的前面PE文件格式PE文件头在PE文件中数据是按属性在节中放置的，不同用途但属性相同的数据（例如导入表、导出表以及指定的只读数据）可能是被放在同一节PE文件用一系列的数据目录结构分别指明这些数据的位置，这些数据目录结构组合起来的称为数据目录结构表数据目录结构表和其它描述文件属性，如文件执行时的入口地址、文件被操作系统装入内存后的默认基地址等数据合在一起称为PE文件头，放于节和节表之前PE文件格式DOS部分为了与DOS系统的文件格式兼容，在PE文件头之前有一个标准的DOS MZ格式的可执行部分PE文件格式DOS部分PE文件中的DOS部分由MZ格式的文件头和可执行代码DOS块（DOS stub）组成MZ格式的文件头（MS-DOS头）由IMAGE_DOS_HEADER结构定义，占据PE文件最开始的64个字节对于PE文件而言，这个结构中有用的是最后的e_lfanew字段该字段在磁盘文件中的偏移量为0000003CH，占四个字节该字段存储PE文件头在磁盘文件中距文件头的偏移量，Windows装载器找到这个偏移量就可以找到真正的PE文件头在文件中的位置DOS块一旦在DOS执行一个PE文件，系统可以将文件解释为DOS下的.EXE可执行格式，执行DOS块DOS块执行只是简单的显示一个“This program cannot be run in DOS mode”就退出DOS块的大小一般不能确定，并且利用链接器的某些参数可以替换这个程序PE文件格式PE文件头紧接着DOS Stub的是PE文件头PE装载器将从DOS 文件头中找到PE文件头的起始偏移量，从而跳过DOS Stub直接定位到真正的PE文件头PE文件头中存放着PE整个文件信息分布的重要字段，包含了许多PE装载器用到的重要信息PE文件头由IMAGE_NT_HEADERS结构组成IMAGE_NT_HEADERSSignature是PE文件头的第一个双字占4个字节，是PE文件的标志。值，即“PE\0\0”FileHe