第4章计算机病毒寄生环境分析.pptVIP

2. 简答题 （1） 简述执行程序的启动过程。 （2） 简述引导型病毒的寄生环境。 （3） 简述com型文件结构与exe型文件结构的特点。 （4） 简述exe文件的装入与执行过程。 （5） PE型文件是怎样的一种结构体？它是如何定义的？ （6） 画出PE型文件的结构图，并对相应部分进行说明。 （7） VxD文件结构由哪几个段组组成？其存储格式如何？ （8） 说明计算机的启动和加载过程。 （9） 什么是系统安全漏洞？试举例说明。 3. 论述题 （1） 根据文件结构的特点，分析说明文件型病毒的寄生环境。 （2） 分析说明计算机一般存在哪些安全漏洞以及计算机病毒是如何利用这些安全漏洞从而达到寄生目的的。 PE的意思就是可移植的执行体（portable executable），它是 Win 32环境自身所带的执行体文件格式。它的一些特性继承自UNIX的 COFF (Common Object File Format)文件格式。“portable executable”意味着该文件格式是跨Win 32平台的：即使Windows运行在非Intel的CPU上，任何Win 32平台的PE装载器都能识别和使用该文件格式。当然，移植到不同的CPU上PE执行体必然得有一些改变。所有Win 32执行体 (除了VxD和16位的DLL)都使用PE文件格式，包括NT的内核模式驱动程序（Kernel Mode Drivers）。 4.4 PE文件结构 Microsoft设计的可移植执行文件格式Portable Executable File Format (PE格式)，可应用于所有基于Win 32的系统:Windows NT、Win 32s及Windows 95/98/Me。 这种文件格式主要由公共对象文件格式——COFF (Common Object File Format)发展而来，COFF文件格式普遍运用于UNIX操作系统。然而，为了和旧版本MS-DOS及Windows操作系统兼容，这种PE文件格式同样保留了在MS-DOS中老的、类似于MZ的文件头。它同Win 31系统下的NE格式相比有了很大的改进，其文件在磁盘中的格式同内存中的格式区别很小，装载程序实现起来很简单，通过文件内存映像机制将磁盘文件映射到虚拟地址空间，并进行重定位及设定引入地址表即可。 在头文件WINNT.h中，包含了许多用于PE文件格式的结构定义，该头文件是Windows NT的Win32软件开发包(SDK)中的一部分。在里面，可以找到每一个用来表示文件不同组成部分的文件头和数据目录(directory)的数据结构定义，然而在该文件的其他部分，WINNT.H却缺少对文件格式的足够定义。 Windows NT的PE文件格式给那些熟悉Windows和MS-DOS环境的开发者引入了一个全新的结构， PE文件格式和UNIX中的COFF规范非常相似，PE文件格式的结构方式是线性数据流，格式的开始是MS-DOS头、实模式段截(stub)的程序和PE文件的标识签名(signature)，接着是PE文件头和PE可选(optional)段头，以及其他各个段的段(section)头和各个段的实体，文件的最后是其他方面的一些信息，包括重定位信息，符号表信息和字符表等信息，如图4.8所示。 图4.8 PE文件结构的总体层次分布 MS-DOS文件头 MS-DOS实模式程序 PE文件签名 PE文件头 PE文件头可选项 .text分段段头 .bss分段段头 .rdata分段段头 … .debug分段段 .text段 .bss段 .rdata段 … .debug段 可选段头由一个数组结尾，该数组存放了与数据目录(directory)虚拟地址相关的数据目录项，数据目录中给出了段体的有关信息。每一个数据目录指明了特定段体数据是如何组织的。PE文件格式有11个预定义的段，这在Windows NT的应用程序中是很常见的。但是，每一个应用程序都可以为它自己的代码和数据定义特殊的段。 VxD技术只使用于Windows 9x系列，Windows NT不支持此技术，而是采用更为先进的面向对象的驱动程序模型。VxD(Virtual Device Driver)是运行在Windows 9x保护环ring0中保护模式下的32位可执行模块，负责管理硬件设备或者已安装软件等系统资源。所有VxD的运行都处于Windows 9x保护环ring3，应用程序对硬件的访问实际上是由这些VxD来代理完成的。VxD向ring3应用程序提供的函数接口称为VxD服务。 4.5 VxD文件结构 VxD可以用来虚拟实现一个物理硬件，比如中断虚拟化，以截取应用程序对硬件的请求，或者仲裁不同的应用程序对硬件的请求。因此，在多任务环境中，不同的应用程序可以共享相