病毒技术与杀毒软件原理.pdfVIP

病毒技术与杀毒软件原理 1. 常识： 1.1 计算机之所以能完成一系列的操作，其实是在执行程 序员为其编写的一系列指令， 通过执行这些指令来完成操作。 而 病毒也是一组由病毒编写者为计算机精心编写的指令。 只不过这 段指令会造成计算机或用户的损失， 所以称之为病毒 （跟“感冒” 一样，呜呜）。 1.2 （可执行应用程序）、（驱动文件）、（动态链接库）：这 三类文件在编程界中程为 （“ ”，可移植的可执行文件） ，这些 文件中有自己的格式， 由不同的数据类型组成。 这些数据类型中 包含着文件加载时需要的信息。如效验标志： 、。 1.3 ：一个程序启动时执行第一条指令的地址。 1.4 病毒和木马的区别：大部分病毒与木马都是用来破坏 系统与盗取用户信息的，反正都不是什么好货，你懂的。 。。。 1.5 劫持技术：加载器将可执行模块映射到进程的地址空 间时，会设法找出该程序依赖的所有动态库并把它们加载到进程 的控制， 如果我们伪造一个类型的动态库的话， 那可执行文件就 会加载我们自己的，就达到了劫持的目的。 1.6 病毒库：病毒库是针对特征码扫描技术编写的一个庞 大的数据库，里面存放了大量病毒文件的特征码。 1.7 加壳：加壳分为几种，有压缩壳、加密壳、保护壳、捆 绑壳。 1.7.1 压缩壳： 大家都用过压缩软件吧。 一些很大的程序因为 网络传输速率原因，通常会将压缩后在发布到网上供大家下载。 压缩壳也是一样， 可以把一些较大的程序通过壳的作者自己的一 套算法将文件变小。 1.7.2 加密壳：一些商业软件中经常会有些不希望别人看到的 东西，逆向工程师会通过逆向分析来得到这些数据， 加密壳就是 用来保护这些商业、 私人秘密不被泄露的。 它在软件内部通过加 花（加花的原理就是：原本你从碧机关走到车家壁要 10 分钟， 但加花后出现了很多路， 虽然终点不变， 但拖慢了你到达的时间） 或修改关键地点指令将代码保护起来，达到加密的目的。 1.7.3 保护壳：与加密壳类似 捆绑壳：将一个文件捆绑到另外一个文件中，其目的是在这 个文件运行时， 文件也跟着运行 （这种技术一般在病毒中运用广 泛） 1.7.4 不管加什么壳， 最终都要保证程序能正常运行。 否则都 是浮云 1.8 脱壳： 脱壳说通俗点就是把别人穿好的衣服在扒下来（这是通俗还 是粗俗。。额。。。我考虑下。。） 1.9 免杀： 免杀，顾名思义就是让杀毒软件不对你的软件进行报毒。 2. 病毒发展 从病毒发展至今经过多个时代的演变与发展，从、到现今最 常用的。本文仅讲解平台下的病毒。 2.1 病毒种类 2.1.1 病毒种类分为：感染型、破坏型、窃似型、混合型等。 其中感染型最难清除， 破坏型以及窃似型对计算机用户的危害更 大。 2.1.1.1 感染性的病毒有： U盘病毒、病毒、文件感染病毒、 压缩包感染病毒等。 这类病毒将自身或自身的一部分带破坏性质 的功能增加到新文件或宿主文件中， 以至于某些