李卓

[摘 要]由于Windows操作系統(tǒng)的廣泛使用，PE病毒已經(jīng)成為當(dāng)前危害計(jì)算機(jī)安全的主要病毒之一。針對(duì)傳播最廣泛、危害最大、使用了多態(tài)變化技術(shù)的windows PE文件病毒的PE病毒，本論文詳細(xì)的分析了windows PE文件結(jié)構(gòu)及PE病毒的入侵原理，針對(duì)windows PE病毒的特點(diǎn)，提出了windows PE文件病毒的防御思想，即在病毒傳播時(shí)期就把其拒之于系統(tǒng)之外,使其失去寄宿生存的空間,再配合一般的殺毒技術(shù),可以有效的防殺windows PE病毒,使系統(tǒng)的安全性和穩(wěn)定性大大提高，最后有針對(duì)性地提出對(duì)PE病毒預(yù)防的多種有效策略，從而為防毒、殺毒提供必要的理論依據(jù)。

[關(guān)鍵詞]PE病毒 入侵途徑 防治措施

計(jì)算機(jī)病毒一直是計(jì)算機(jī)用戶和安全專(zhuān)家的心腹大患,雖然計(jì)算機(jī)反病毒技術(shù)不斷更新和發(fā)展,但是仍然不能改變被動(dòng)滯后的局面。計(jì)算機(jī)病毒一般都具有潛伏傳染激發(fā)破壞等多種機(jī)制，但其傳染機(jī)制反映了病毒程序最本質(zhì)的特征，離開(kāi)傳染機(jī)制，就不能稱(chēng)其為病毒。因此，監(jiān)控和及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的傳染行為，是病毒制造者和安全專(zhuān)家的爭(zhēng)奪焦點(diǎn)。目前主流的操作系統(tǒng)是Windows操作系統(tǒng)，利用windows操作系統(tǒng)中存在的漏洞和系統(tǒng)程序接口，病毒可輕易獲取控制權(quán)，感染硬盤(pán)上的文件，并進(jìn)行破壞。因此計(jì)算機(jī)病毒入侵途徑和防治研究顯得尤為重要。

病毒要在Windows操作系統(tǒng)上實(shí)現(xiàn)其感染目的是要獲得系統(tǒng)的控制權(quán)，而感染可執(zhí)行文件時(shí)取得控制權(quán)的最好途徑。在WINDOWS NT/XP/2000/98/95等系統(tǒng)下，可執(zhí)行文件和動(dòng)態(tài)鏈接庫(kù)均采用的是PE文件格式。只有透徹研究了PE的文件格式，才能了解病毒如何寄生在文件中，才能有的放矢的采取對(duì)策以檢測(cè)和制止病毒的入侵。在各種病毒中，又以PE病毒數(shù)目最大，傳播最廣，破壞力最強(qiáng)，分析PE病毒有非常重要的意義。因此本文將重點(diǎn)介紹PE病毒的入侵途徑和防治措施。

一、PE病毒

1.PE病毒的定義

一個(gè)正常的程序感染后，當(dāng)你啟動(dòng)這個(gè)程序的時(shí)候，它通常會(huì)先執(zhí)行一段病毒代碼，然后自身運(yùn)行，這樣病毒就悄無(wú)聲息的運(yùn)行起來(lái)，然后再去感染其他PE文件，這就是PE病毒的行為。

2.PE病毒的特征

(1)具有感染性。該類(lèi)病毒通過(guò)感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部，修改原程序的入口點(diǎn)以指向病毒體，病毒本身沒(méi)有什么危害，但是被感染的文件可能被破壞而不能正常運(yùn)行。

(2)潛伏性。指病毒依附于其他文件而存在，即通過(guò)修改其他程序而把自身的復(fù)制品嵌入到其他程序中。

(3）可觸發(fā)性。即在一定的條件下激活這類(lèi)病毒的感染機(jī)制使之進(jìn)行感染。

(4)破壞性。病毒一旦感染其他文件，病毒本身沒(méi)什么危害，但是會(huì)導(dǎo)致被感染的文件丟失數(shù)據(jù)或被破壞而不能正常運(yùn)行。

3.PE文件格式

在PE文件格式中有一個(gè)重要的概念相對(duì)偏移量（RAV），RAV是虛擬空間中某句代碼到參考點(diǎn)的一段距離。例如，如果PE文件裝入虛擬地址（VA）空間的400000h處，且進(jìn)程從虛擬401000h開(kāi)始執(zhí)行，就可以說(shuō)進(jìn)程執(zhí)行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負(fù)擔(dān)，因?yàn)槊總€(gè)模塊都有可能被重載到任何虛擬地址空間。

PE文件格式被組織為一個(gè)線性的數(shù)據(jù)流，他由一個(gè)MS-DOS頭部開(kāi)始，接著是實(shí)模擬程序殘余以及一個(gè)PE文件標(biāo)識(shí)，之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部，斷頭不之后跟隨者所有的段實(shí)體。文件的結(jié)束處事一些其它的區(qū)域，其中是一些混雜的信息，包括重分配信息、符號(hào)表信息、行號(hào)表信息以及字符串?dāng)?shù)據(jù)。如圖：

(1)MS-DOS頭部、實(shí)模式頭部

如上所述，PE文件格式的第一個(gè)組成部分是MS-DOS頭部。保留這個(gè)相同的結(jié)構(gòu)的最主要原因是：當(dāng)在WINDOWS3.1一下或MS-DOS2.0以上的系統(tǒng)下裝在一個(gè)文件的時(shí)候，操作系統(tǒng)能夠讀取這個(gè)文件并明白是和當(dāng)前系統(tǒng)不相兼容的。

它的第一域e_magic,被稱(chēng)為魔術(shù)數(shù)字，它被用于表示一個(gè)MS-DOS兼容的文件類(lèi)型。所有MS-DOS兼容的可執(zhí)行文件都將這個(gè)值設(shè)為0x5A4D，表示ASCII字符MZ。MS-DOS頭部之所以有的時(shí)候被稱(chēng)為MZ頭部，就是這個(gè)緣故。還有許多其它的域?qū)τ贛S-DOS操作系統(tǒng)來(lái)說(shuō)都有用，但是對(duì)于WINDOWS NT來(lái)說(shuō)，PE結(jié)構(gòu)中只有一個(gè)有用的域—最后一個(gè)域e_lfnew，一個(gè)4字節(jié)的文件偏移量，PE文件頭部就是由它定位的。對(duì)于WINDOWS NT的PE文件來(lái)說(shuō)，PE文件頭部是緊跟在MS-DOS頭部和實(shí)模式程序殘余之后的。

(2)實(shí)模式殘余程序

實(shí)模式殘余程序是一個(gè)轉(zhuǎn)載時(shí)能夠被MS-DOS運(yùn)行的實(shí)際程序。對(duì)于一個(gè)MS-DOS的可執(zhí)行映像文件，應(yīng)用程序就是從這里執(zhí)行的。對(duì)于WINDOWS、OS/2、WINDOWS NT這些操作系統(tǒng)來(lái)說(shuō)，MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做，而只是輸出一行文本，例如：“This program requires Microsoft Windows v3.1 or greater.”

當(dāng)為WINDOWS 3.1構(gòu)建一個(gè)應(yīng)用程序的時(shí)候，鏈接器將向你的可執(zhí)行文件中鏈接一個(gè)名為WINSTUB.EXE的默認(rèn)殘余程序。你可以用于一個(gè)基于MS-DOS的有效程序取代WINSTUB，并且用STUB模塊定義語(yǔ)句指示器，這樣就能夠取代鏈接器的默認(rèn)行為。為WINDOWS NT開(kāi)發(fā)的應(yīng)用程序可以通過(guò)使用-STUB：連接器選項(xiàng)來(lái)實(shí)現(xiàn)。

(3)PE頭部

該頭部的結(jié)構(gòu)如下：

{

DWORO Signature;

IMAGE_FILE_HEADER FileHeader;

IMAGE_OPTIONAL_HEADER OptionalHeader;

}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

它包括三個(gè)域：第一個(gè)域是固定的格式“PE

栾川县| 阜新市| 松潘县| 双流县| 遵义县| 灵川县| 益阳市| 于田县| 林州市| 浪卡子县| 合山市| 靖远县| 中牟县| 慈利县| 札达县| 吴桥县| 昌平区| 军事| 九龙城区| 罗定市| 金阳县| 丰都县| 东兴市| 东台市| 偏关县| 瓦房店市| 中宁县| 南川市| 浦江县| 米泉市| 定安县| 泰来县| 扎囊县| 铁岭市| 民县| 田东县| 大荔县| 无极县| 图木舒克市| 吉安县| 天台县|