PE文件格式对定位病毒特征码作用.docVIP

PE文件格式对定位病毒特征码作用 　　摘要：电脑病毒时刻在网络中传播，影响人们的生活和工作。本文根据杀毒软件查杀电脑病毒的过程和原理，分析PE文件格式在查杀病毒过程中所起的作用。 　　关键词：PE文件格式；杀毒软件；病毒 　　中图分类号：TP309.5 文献标识码：A 文章编号：1007-9599（2013）01-0067-02 　　1 引言 　　互联网时代，病毒在网络上到处传播，窃取用户信息，破坏用户数据。杀毒软件起着“伸张正义”的角色，对病毒的破坏行为进行拦截和对病毒进行查杀。杀毒软件和病毒之间的关系是矛与盾的较量关系。虽然杀毒软件处于强者地位，一直在追杀着病毒，然而杀毒软件却是一个被动的强者。杀毒软件永远都是在病毒出现后才知道去追杀（杀毒软件预知病毒能力目前还不是很强），而病毒发现自己被追杀后，也会通过伪装、隐藏、变种等方式来躲过杀毒软件的查杀。 　　面对病毒的伪装、隐藏、变种，杀毒软件如何能准确而快速的对病毒进行查杀呢？本文从杀毒软件查杀病毒的原理出发，分析PE文件格式在杀毒软件定位病毒特征码中的作用。杀毒软件通过快速准确定位病毒特征码，对伪装、隐藏、变种病毒进行查杀。 　　2 杀毒软件查杀病毒的原理概述 　　这里以Windows的exe程序为主要分析对象。 　　2.1 电脑病毒 　　对于操作系统来说，电脑病毒和其他应用程序是没有差别的，都是一个exe程序。只是功能上有所区别，通常病毒程序的功能是窃取用户信息、破坏电脑中的数据等，而一般的应用程序不会这么做。 　　2.2 杀毒软件查杀病毒的原理及特征码的作用 　　由于电脑病毒也是一个exe程序，杀毒软件怎样判断一个exe程序是一个病毒程序呢？ 　　通常是先经过杀毒软件公司的技术人员来分析，验证某程序是否具有窃取用户信息，破坏电脑数据的行为。如果有，则认为是病毒程序。在确定为病毒程序后，则需要提取该病毒文件的特征码并把特征码录入病毒库。如果杀毒软件遇上某程序文件的特征码存在于病毒库中，那么杀毒软件则判断该程序文件是一个病毒文件。从这里可以看出来，杀毒软件对病毒文件的判断主要就是通过特征码比较来判断的。 　　世界上有无数的exe应用程序，如果某一个非病毒程序文件与一个病毒程序文件有相同的特征码，那么杀毒软件就是“杀错好人”了。“杀错好人”的情况就是“误杀”。 　　一个病毒程序也可能有无数个变种，如果某一个病毒，杀毒软件只杀了第一次出现时病毒版本，而不杀它的变种版本，那么杀毒软件就是“放走坏人”了。 “放走坏人”的情况就是“漏杀”。 　　为了减少误杀和漏杀，特征码可能不止一个，而是一组。一组特征码按照一定的排列组合来确定某程序文件是否为病毒，这样会大大减少误杀的情况。然而增加特征码的个数会增加特征码的对比次数，从而增加查杀时间。 　　从杀毒软件查杀病毒的原理可以知道，杀毒软件杀毒的过程中有如下矛盾： 　　减少“查杀时间”，那就需要减少特征码的个数，但是这样子会提高“误杀率”和“漏杀率”。 　　为了降低“误杀率”和“漏杀率”， 需要增加特征码的个数，但是这样子会增多“查杀时间”。 　　也就是说“查杀时间”与“误杀率”是一对矛盾。而其中解决这对矛盾的关键因素就是特征码的个数了。 　　针对这对矛盾，杀毒软件需要做的事情就是要定位出精准和稳定的特征码。定位出精准和稳定的特征码就是要找到最少的特征码来标识一个病毒，而且要这些特征码在病毒的变种中也能找到。 　　PE文件格式对定位出精准的和稳定的特征码有着非常重要的作用。 　　3 PE文件格式和与病毒文件特征码的联系分析 　　3.1 Dos 头和Dos Sub 　　这两段数据是为了兼容Dos操作系统而保留的。在Window 32位/64位操作系统并没有用（除了e_lfanew）。有些病毒也会利用这段空间，所以它可以作为特征码的一部分。 　　3.2 镜像NT头（IMAGE_NT_HEADERS32） 　　真正的PE文件内容是从这里开始的。里面主要包含的信息主要有：镜像文件头和镜像可选头。 　　3.2.1 镜像文件头（IMAGE_FILE_HEADER） 　　镜像文件头中比较重要的是NumberOfSections和Characteristics. 其中 NumberOfSections代表节表的数量。在遍历各个节的时候需要使用，而很多病毒会添加自己的节，存储病毒需要的数据；Characteristics是PE文件的一些属性信息，通常一个病毒文件和变种文件的这个值是相同的，当然不同的病毒文件的这个值也可能相同。但是相对来说这个值是比较固定的。 所以可以作为特征码的一部分。 　　3.2.2 镜像可选头（IMAGE_OPTIONAL_HEADER） 　　镜像可选头包含的内容非常多和重