摘要:电脑病毒时刻在网络中传播,影响人们的生活和工作。本文根据杀毒软件查杀电脑病毒的过程和原理,分析pe文件格式在查杀病毒过程中所起的作用。
关键词:pe文件格式;杀毒软件;病毒
中图分类号:tp309.5 文献标识码:a 文章编号:1007-9599(2013)01-0067-02
1 引言
互联网时代,病毒在网络上到处传播,窃取用户信息,破坏用户数据。杀毒软件起着“伸张正义”的角色,对病毒的破坏行为进行拦截和对病毒进行查杀。杀毒软件和病毒之间的关系是矛与盾的较量关系。虽然杀毒软件处于强者地位,一直在追杀着病毒,然而杀毒软件却是一个被动的强者。杀毒软件永远都是在病毒出现后才知道去追杀(杀毒软件预知病毒能力目前还不是很强),而病毒发现自己被追杀后,也会通过伪装、隐藏、变种等方式来躲过杀毒软件的查杀。
面对病毒的伪装、隐藏、变种,杀毒软件如何能准确而快速的对病毒进行查杀呢?本文从杀毒软件查杀病毒的原理出发,分析pe文件格式在杀毒软件定位病毒特征码中的作用。杀毒软件通过快速准确定位病毒特征码,对伪装、隐藏、变种病毒进行查杀。
2 杀毒软件查杀病毒的原理概述
2.1 电脑病毒
对于操作系统来说,电脑病毒和其他应用程序是没有差别的,都是一个exe程序。只是功能上有所区别,通常病毒程序的功能是窃取用户信息、破坏电脑中的数据等,而一般的应用程序不会这么做。
2.2 杀毒软件查杀病毒的原理及特征码的作用
由于电脑病毒也是一个exe程序,杀毒软件怎样判断一个exe程序是一个病毒程序呢?
通常是先经过杀毒软件公司的技术人员来分析,验证某程序是否具有窃取用户信息,破坏电脑数据的行为。如果有,则认为是病毒程序。在确定为病毒程序后,则需要提取该病毒文件的特征码并把特征码录入病毒库。如果杀毒软件遇上某程序文件的特征码存在于病毒库中,那么杀毒软件则判断该程序文件是一个病毒文件。从这里可以看出来,杀毒软件对病毒文件的判断主要就是通过特征码比较来判断的。
世界上有无数的exe应用程序,如果某一个非病毒程序文件与一个病毒程序文件有相同的特征码,那么杀毒软件就是“杀错好人”了。“杀错好人”的情况就是“误杀”。
一个病毒程序也可能有无数个变种,如果某一个病毒,杀毒软件只杀了第一次出现时病毒版本,而不杀它的变种版本,那么杀毒软件就是“放走坏人”了。“放走坏人”的情况就是“漏杀”。
为了减少误杀和漏杀,特征码可能不止一个,而是一组。一组特征码按照一定的排列组合来确定某程序文件是否为病毒,这样会大大减少误杀的情况。然而增加特征码的个数会增加特征码的对比次数,从而增加查杀时间。
从杀毒软件查杀病毒的原理可以知道,杀毒软件杀毒的过程中有如下矛盾:
减少“查杀时间”,那就需要减少特征码的个数,但是这样子会提高“误杀率”和“漏杀率”。
为了降低“误杀率”和“漏杀率”,需要增加特征码的个数,但是这样子会增多“查杀时间”。
也就是说“查杀时间”与“误杀率”是一对矛盾。而其中解决这对矛盾的关键因素就是特征码的个数了。
针对这对矛盾,杀毒软件需要做的事情就是要定位出精准和稳定的特征码。定位出精准和稳定的特征码就是要找到最少的特征码来标识一个病毒,而且要这些特征码在病毒的变种
中也能找到。
pe文件格式对定位出精准的和稳定的特征码有着非常重要的作用。
3 pe文件格式和与病毒文件特征码的联系分析
3.1 dos 头和dos sub
3.2 镜像nt头(image_nt_headers32)
真正的pe文件内容是从这里开始的。里面主要包含的信息主要有:镜像文件头和镜像可选头。
3.2.1 镜像文件头(image_file_header)
镜像文件头中比较重要的是numberofsections和characteristics. 其中numberofsections代表节表的数量。在遍历各个节的时候需要使用,而很多病毒会添加自己的节,存储病毒需要的数据;characteristics是pe文件的一些属性信息,通常一个病毒文件和变种文件的这个值是相同的,当然不同的病毒文件的这个值也可能相同。但是相对来说这个值是比较固定的。所以可以作为特征码的一部分。
3.2.2 镜像可选头(image_optional_header)
镜像可选头包含的内容非常多和重要。对特征码定位有比较大作用的有如下字段:filealignment:数据块存储在文件中的对齐粒度;
sectionalignment:数据块在内存中的对齐粒度;
sizeofcode:代码块的大小;
sizeofinitializeddata:初始化数据的大小;
sizeofimage:pe文件在内存中的大小;
addressofentrypoint:入口地址;
baseofcode:代码段在内存中相对于镜像基址的开始地址;
baseofdata:数据段在内存中相对于镜像基址的开始地址;
镜像可选头结构中的字段对病毒特征码提取有作用的分如下几类:
a.由于功能不变性和对齐方式引起的数据块大小比较固定。对齐方式是操作系统为了效率上的提高,对数据按照一定的大小进行分块存储而产生的数据存储方式。例如数据按200k存储,那么 201k的数据,存储的时候就要使用2块200k的空间,也就是400k的空间。
pe文件中数据的存储也类似这样。按照 section alignment(数据块在内存中的对齐粒度)和filealignment(数据块存储在文件中的对齐粒度)对齐。这两个对齐值会引起镜像可选头的某些字段值也比较固定。
sizeofcode(代码块的大小)、sizeofinitializeddata(初始化数据的大小)、sizeofimage (pe文件在内存中的大小),通常一个可执行程序的代码没有很大的修改的话,这几个值比较固定。从而可以通过这几个值定位到比较稳定的特征码。
b.由于功能不变性和数据块大小稳定性引起地址值的比较固定。
对于任何一个程序,在第一次生成后,并通过功能测试发布后,主体功能都是已经确定的,就算修改也只是一些节支上的小改。病毒程序也不例外。
加上对齐粒度的影响,pe文件中的数据块大小也比较稳定,所以引起许多地址值也是比较固定的。
addressofentrypoint(入口地址)、baseofcode(代码段在内存中相对于镜像基址的开始地址)、baseofdata(数据段在内存中相对于镜像基址的开始地址),由于数据块存储是按块存储,而各个数据块只要可执行程序的代码没有很大的修改的话,数据块的大小就基本上不变,所以引起这些存储的地址值也比较固定。
3.3 节表头(image_section_header)
3.4 各个节
节表头后,就是各个节的数据了。节中存储着各种数据,主要有代码数据、常量数据、资源数据、导出函数数据、导入函数数据.
这些数据在病毒程序功能固定的情况下,都是比较固定的,从而定位出特征码也比较容易。
但是常量数据、资源数据、导出函数数据通常是比较容易修改的。所以定位到这3种数据的特征码也就不固定,例如某特征码定位到常量数据“abc”,我现在把这个常量数据以组合的方式实现,修改成“ab”+“c”,那么这个特征码就被破坏了。
为什么这3个数据容易被修改?
因为这3个数据是在代码级上的数据,通过简单修改病毒程序的代码,这3个数据的大小可能不变化,但数据的内容可能会发生很大的变化。
而对于代码数据和导入函数数据,这两个数据时编译器和连接器根据代码来生成的,只要代码不是很大修改,这两个数据的内容是比较稳定的。
3.4.1 代码数据
代码数据可以定位到特征码的地方是比较多的。
3.4.2 导入函数数据
4 总结
上面说明的那些数据通过pe文件可以快速的找到,而且对exe程序进行小范围的修改,那些数据基本上不会改变(某些注销掉的dll函数除外)。
杀毒软件通过pe文件格式对这些数据进行分析,可以找到一些比较稳定的不常变的数据,把这些数据组成多组特征,从而可以快速稳定的定位pe文件的特征码和判断pe文件是否为病毒文件。
病毒有哪些基本特征?病毒与其他生物的主要区别是什么? 2、病毒有哪些主要形态? 3、病毒有哪几种主要化学组分? 4、病毒的核酸有哪些特点? 5、病毒壳体有哪几种对称类型? 6、病毒如何进行增殖? 7、病毒核酸有那几个类型?各类型病毒核酸是如何复制和转录的? 8、什么叫烈性噬菌体、温和噬菌体? 9、溶源性细菌有哪些特点? 10、什么是病毒的一步生长曲线?裂解量如何计算? 11、根据宿主种类病毒可分为哪几种? 12、类病毒、朊病毒各有何特点? 1.原核微生物与真核微生物有何区别? 2.细菌细胞有几种形态? 3.球菌有哪些类型? 3.细菌的一般结构和特殊结构各有哪些?其功能如何? 4.G+ 与G-有哪些主要区别? 5.鞭毛由哪几部分组成? 6.为何芽孢对热、化学药物等具有较强的抗性? 7.细菌的伴孢晶体有何利用价值? 8.何谓菌落?与菌苔有何区别? 9.细菌是如何繁殖的? 10.放线菌有何用途? 11.放线菌菌体根据菌丝形态和功能分为几类? 12.放线菌如何繁殖? 13.放线菌菌落与细菌菌落有何区别? 14.何谓异形胞?其结构与功能有何关系? 15.蓝细菌主要繁殖方式是什么? 16.立克次氏体、支原体、衣原体和螺旋体各有何特点?可引起哪些主要疾病? 17.试述细菌、放线菌、立克次氏体、衣原体、支原体等原核微生物的主要差别。 18.试从细胞的形态结构分析细菌与放线菌的菌落特征。 19.比较G+ 与G-在生物学特性上的差异。 20.讨论原核微生物的用途。 21.讨论革兰氏染色法的机制和重要性。 22.试讨论细菌的细胞形态与菌落形态间的相关性。 23.试述缺壁细菌的形成、特点和实践意义。 24.讨论细菌芽孢的构造和功能的关系,并说明研究细菌芽孢有何理论和实际意义? 25.讨论细菌与人类生活的关系。 26.讨论嗜热菌的耐热机理。
PE文件格式详解(一)――基础知识 什么是PE文件格式: 我们知道所有文件都是一些连续(当然实际存储在磁盘上的时候不一定是连续的)的数据组织起来的,不同类型的文件肯定组织形式也各不相同;PE文件格式便是一种文件组织形式,它是32位Wind ow系统中的可执行文件EXE以及动态连接库文件DLL的组织形式。为什么我们双击一个EXE文件之后它就会被Window运行,而我们双击一个DOC文件就会被Word打开并显示其中的内容;这说明文件中肯定除了存在那些文件的主体内容(比如EXE文件中的代码,数据等,DOC文件中的文件内容等)之外还存在其他一些重要的信息。这些信息是给文件的使用者看的,比如说EXE文件的使用者就是Window,而DOC文件的使用者就是Word。Window可以根据这些信息知道把文件加载到地址空间的那个位置,知道从哪个地址开始执行;加载到内存后如何修正一些指令中的地址等等。那么PE文件中的这些重要信息都是由谁加入的呢?是由编译器和连接器完成的,针对不同的编译器和连接器通常会提供不同的选项让我们在编译和 联结生成PE文件的时候对其中的那些Window需要的信息进行设定;当然也可以按照默认的方式编译连接生成Window中默认的信息。例如:WindowNT默认的程序加载基址是0x40000;你可以在用VC连接生成EXE文件的时候使用选项更改这个地址值。在不同的操作系统中可执行文件的格式是不同的,比如在Linux上就有一种流行的ELF格式;当然它是由在Linux上的编译器和连接器生成的,
所以编译器、连接器是针对不同的CPU架构和不同的操作系统而涉及出来的。在嵌入式领域中我们经常提到交叉编译器一词,它的作用就是在一种平台下编译出能在另一个平台下运行的程序;例如,我们可以使用交叉编译器在跑Linux的X86机器上编译出能在Arm上运行的程序。 程序是如何运行起来的: 一个程序从编写出来到运行一共需要那些工具,他们都对程序作了些什么呢?里面都涉及哪些知识需要学习呢?先说工具:编辑器-》编译器-》连接器-》加载器;首先我们使用编辑器编辑源文件;然后使用编译器编译程目标文件OBJ,这里面涉及到编译原理的知识;连接器把OBJ文件和其他一些库文件和资源文件连接起来生成EXE文件,这里面涉及到不同的连接器的知识,连接器根据OS的需要生成EXE文件保存着磁盘上;当我们运行EXE文件的时候有W indow的加载器负责把EXE文件加载到线性地址空间,加载的时候便是根据上一节中说到的PE文件格式中的哪些重要信息。然后生成一个进程,如果进程中涉及到多个线程还要生成一个主线程;此后进程便开始运行;这里面涉及的东西很多,包括:PE文件格式的内容;内存管理(CPU内存管理的硬件环境以及在此基础上的OS内存管理方式);模块,进程,线程的知识;只有把这些都弄清楚之后才能比较清楚的了解这整个过程。下面就让我们先来学习PE文件格式吧。
常见的病毒及其特点 通常为泛指,即包括病毒(Virus)、特洛伊木马(Trojan Horse)、蠕虫(Worm)、宏病毒(Macro)、后门程序(BackDoor)、黑客软件/工具(Hacker)、间谍程序(Spyware)、广告程序(Adware)、玩笑程序(Joke)、恶作剧程序(Hoax)等等有害程序及文件(Malware)计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序 的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。 还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制 并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。 所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。 1.按照计算机病毒攻击的系统分类
DOS MZ header部分是DOS时代遗留的产物,是PE文件的一个遗传基因,一个Win32程序如果在DOS下也是可以执行,只是提示:“This program cannot be run in DOS mode.”然后就结束执行,提示执行者,这个程序要在Win32系统下执行。 DOS stub 部分是DOS插桩代码,是DOS下的16位程序代码,只是为了显示上面的提示数据。这段代码是编译器在程序编译过程中自动添加的。 PE header 是真正的Win32程序的格式头部,其中包括了PE格式的各种信息,指导系统如何装载和执行此程序代码。 Section table部分是PE代码和数据的结构数据,指示装载系统代码段在哪里,数据段在哪里等。对于不同的PE文件,设计者可能要求该文件包括不同的数据的Section。所以有一个Section Table 作为索引。Section多少可以根据实际情况而不同。但至少要有一个Section。如果一个程序连代码都没有,那么他也不能称为可执行代码。在Section Table后,Section数目的多少是不定的。 二、程序的装入 当我们在explorer.exe(资源管理器)中双击某文件,执行一个可执行程序,系统会根据文件扩展名启动一个程序装载器,称之为Loader。Loader会首先检查DOS MZ Header,如果存在,就继续寻找PE header,如果这两项都不存在,就认为是DOS 16位代码,如果只存在DOS MZ Header,而其中又指示了而其中又指示了PE Header 的位置,那么Loader 就判定此文件不一个有效的PE文件,拒绝执行。 如果DOS Header 和PE Header都正常有效,那么Loader就会根据PE Header 及Section Table的指示,将相应的代码和数据映射到内存中,然后根据不同的Section进行数据的初始化,最后开始执行程序段代码。 三、PE格式高级分析 下面我们以一个真实的程序为例详细分析PE格式,分析PE格式最好有PE分析器,常用的软件是Lord PE,也有其它的分析工具和软件如PE Editor 、Stud PE等。 先分析一下磁盘文件的内容,这里我们使用UltraEdit32(UE)工具,这是一个实用的文件编辑器,可以编辑文本和二进制文件。
病毒的致病机理 从分子生物学水平分析,病毒致病特征与其他微生物的差异很大;但从整个机体或群体上研究,发现病毒感染的流行病学和发病机理与细菌感染有很多相似之处。 病毒侵入机体是否引起发病,取决于病毒的毒力和宿主的抵抗力(包括特异性和非特异性免疫因素),而且二者的相互作用受到外界各种因素的影响。 第一节病毒感染 病毒感染:指病毒侵入体内并在靶器官细胞中增殖,与机体发生相互作用的过程。 病毒性疾病:指感染后常因病毒种类、宿主状态不同而发生轻重不一的具有临床表现的疾病。有时虽发生病毒感染,但并不形成损伤或疾病。 一、病毒侵入机体的途径 二、病毒感染的类型 1、按有无临床症状,分为: (1)隐性感染 病毒进入机体后不引起临床症状的感染,对组织和细胞的损伤不明显。 相关因素:病毒的性质、病毒的毒力弱、机体防御能力强 隐性感染虽不出现临床症状,但病毒仍可在体内增殖并向外界播散病毒,成为重要的传染源。 (2)显性感染 某些病毒(如新城疫病毒、犬细小病毒等)进入机体,可在宿主细胞内大量增殖,造成组织和细胞损伤,机体出现明显的临床症状。 2、依病毒在机体内滞留时间的长短,分为: (1)急性感染
病毒侵入机体后,在细胞内增殖,经数日以至数周的潜伏期后突然发病。 在潜伏期内,病毒增殖到一定水平,造成靶细胞损伤,甚至死亡,从而导致组织器官的损伤和功能障碍,出现临床症状。宿主动员非特异性和特异性免疫因素清除病毒。特点是潜伏期短、发病急、病程数日至数周;病后常获得特异性免疫(因此,特异性抗体可作为受过感染的证据) (2)持续性感染 病毒可长期持续存在于感染动物体内数月、数年,甚至数十年,一般不显示临床症状;或存在于体外培养的细胞中而不显示细胞病变。 持续性病毒感染有病毒和机体两方面的因素:机体免疫功能低下,无力完全清除病毒;病毒在免疫因子不能到达的部位生长;有些病毒可产生缺损型干扰颗粒(DIP);某些病毒基因可整合道宿主细胞的基因组中;某些病毒无免疫原性(如朊病毒),不产生免疫应答;某些病毒对免疫细胞亲嗜,使免疫功能发生障碍或消失。 持续性感染有下述4种类型: ①潜伏感染 经急性或隐性感染后,病毒基因组存在于一定组织或细胞内,但并不能产生感染性的病毒子。 在某些条件下病毒可被激活而急性发作,病毒仅在临床出现间歇性急性发作时才被检出。在非发作期,用一般常规方法不能分离出病毒。 ②慢性感染 经显性或隐性感染后,病毒并未完全清除,可继续感染少部分细胞,也能使细胞死亡,但释放出的病毒只感染另一小部分细胞,因此不表现病症;病毒可持续存在于血液或组织中并不断排出体外,病程长达数月至数十年。 ③慢发感染 病毒感染后潜伏期很长可达数月、数年甚至数十年之久。平时机体无症状,也分离不出病毒。一旦发病出现慢性进行性疾病,最终常为致死性感染。 ④急性感染的迟发并发症 可在急性感染后1年或数年,发生致死性的疾病。如:犬瘟热→脑炎、猫全白细胞减少症→小脑综合征 兽医临床常见的具有持续性感染特性的病毒 疾病名称病毒分类持续感染方式持续部位 口蹄疫小RNA病毒科 口蹄疫病毒属 短期循环动物咽部 猪水疱病小RNA病毒科 肠道病毒属 短期循环 抵抗力强的病毒 动物咽部 牛瘟、犬瘟热、新城疫副粘病毒科短期循环动物咽部蓝舌病呼肠孤病毒科中间宿主,持续感染,先天性造血系统
PE可选头部 PE可执行文件中接下来的224个字节组成了PE可选头部。虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。OPTHDROFFSET宏可以获得指向可选头部的指针: PEFILE.H #define OPTHDROFFSET(a) ((LPVOID)((BYTE *)a + \ ((PIMAGE_DOS_HEADER)a)->e_lfanew + \ SIZE_OF_NT_SIGNATURE + \ sizeof(IMAGE_FILE_HEADER))) 可选头部包含了很多关于可执行映像的重要信息,例如初始的堆栈大小、程序入口点的位置、首选基地址、操作系统版本、段对齐的信息等等。IMAGE_OPTIONAL_HEADER结构如下: WINNT.H typedef struct _IMAGE_OPTIONAL_HEADER { // // 标准域 // USHORT Magic; UCHAR MajorLinkerVersion; UCHAR MinorLinkerVersion; ULONG SizeOfCode; ULONG SizeOfInitializedData; ULONG SizeOfUninitializedData; ULONG AddressOfEntryPoint; ULONG BaseOfCode; ULONG BaseOfData; // // NT附加域 // ULONG ImageBase; ULONG SectionAlignment;
ULONG FileAlignment; USHORT MajorOperatingSystemVersion; USHORT MinorOperatingSystemVersion; USHORT MajorImageVersion; USHORT MinorImageVersion; USHORT MajorSubsystemVersion; USHORT MinorSubsystemVersion; ULONG Reserved1; ULONG SizeOfImage; ULONG SizeOfHeaders; ULONG CheckSum; USHORT Subsystem; USHORT DllCharacteristics; ULONG SizeOfStackReserve; ULONG SizeOfStackCommit; ULONG SizeOfHeapReserve; ULONG SizeOfHeapCommit; ULONG LoaderFlags; ULONG NumberOfRvaAndSizes; IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES]; } IMAGE_OPTIONAL_HEADER, *PIMAGE_OPTIONAL_HEADER; 如你所见,这个结构中所列出的域实在是冗长得过分。为了不让你对所有这些域感到厌烦,我会仅仅讨论有用的——就是说,对于探究PE文件格式而言有用的。 标准域 首先,请注意这个结构被划分为“标准域”和“NT附加域”。所谓标准域,就是和UNIX可执行文件的COFF 格式所公共的部分。虽然标准域保留了COFF中定义的名字,但是Windows NT仍然将它们用作了不同的目的——尽管换个名字更好一些。 ·Magic。我不知道这个域是干什么的,对于示例程序EXEVIEW.EXE示例程序而言,这个值是0x010B
第十二讲 网络安全与管理 教师:汪洪祥 项目4 计算机病毒及防治 项目1 双机互连对等网络的组建 2013/11/24 本讲的主要内容: 一、项目提出 二、项目分析 三、相关知识点 1.病毒的定义与特征 2.病毒的分类 3.宏病毒的蠕虫病毒 4.木马 5.反病毒技术 4.1 项目提出 有一天,小李在QQ聊天时,收到一位网友发来的信息,如图4-1所示,出于好奇和对网友的信任,小李打开了网友提供的超链接,此时突然弹出一个无法关闭的窗口,提示系统即将在一分钟以后关机,并进入一分钟倒计时状态,如图4-2所示。
小李惊呼上当受骗,那么小李的计算机究竟怎么了? 4.2 项目分析 小李的计算机中了冲击波(Worm.Blaster)病毒。 2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金。 病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或XP的计算机,找到后就利用RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重新启动、甚至导致系统崩溃。 另外,该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。 4.2 项目分析 病毒手动清除方法:用DOS系统启动盘启动进入DOS环境下,删除C:\windows\msblast.exe文件;也可安全模式下删除该文件。 预防方法:打上RPC漏洞安全补丁。 据北京江民新科技术有限公司统计,2011年上半年最为活跃的病毒类型为木马
病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,如图4-3所示,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。 防范计算机病毒等的有效方法是除了及时打上各种安全补丁外,还应安装反病毒工具,并进行合理设置,比较常见的工具有360杀毒软件、360安全卫士等。 6 4.3 相关知识点 4.3.1 计算机病毒的概念与特征 1. 计算机病毒的定义 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 4.3 相关知识点 2 计算机病毒的特征 ①传染性。计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。这些媒介可以是程序、文件、存储介质、网络等。 ②隐蔽性。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区分的。在没有防护措施的情况下,计算机病毒程序一经运行并取得系统控制权后,可以迅速感染给其他程序,而在此过程中屏幕上可能没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。 ③潜伏性。病毒具有依附其他媒介寄生的能力,它可以在磁盘、光盘或其他介质上潜伏几天,甚至几年。不满足其触发条件时,除了感染其他文件以外不做破坏;触发条件一旦得到满足,病毒就四处繁殖、扩散、破坏。 ④触发性。计算机病毒发作往往需要一个触发条件,其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。如CIH病毒在每年4月26日发作,而一些邮件病毒在打开附件时发作。 4.3 相关知识点 ⑤破坏性。当触发条件满足时,病毒在被感染的计算机上开始发作。根据计算机病毒的危害性不同,病毒发作时表现出来的症状和破坏性可能有很大差别。从显
病毒特征和种类 来源网络作者:出版理论 病毒是一类个体微小,无完整细胞结构,含单一核酸(DNA或RNA)型,必须在活细内寄生并复制的非细胞型微生物。 “virus”一词源于拉丁文,原指一种动物来源的毒素。病毒能增殖、遗传和演化,因而具有生命最基本的特征,但至今对它还没有公认的定义。最初用来识别病毒的性状,如个体微小、一般在光学显微镜下不能看到、可通过细菌所不能通过的滤器、在人工培养基上不能生长、具有致病性等,现仍有实用意义。但从本质上区分病毒和其他生物的特征是:①含有单一种核酸(DNA或RNA)的基因组和蛋白质外壳,没有细胞结构;②在感染细胞的同时或稍后释放其核酸,然后以核酸复制的方式增殖,而不是以二分裂方式增殖;③严格的细胞内寄生性。病毒缺乏独立的代谢能力,只能在活的宿主细胞中,利用细胞的生物合成机器来复制其核酸并合成由其核酸所编码的蛋白,最后装配成完整的、有感染性的病毒单位,即病毒粒。病毒粒是病毒从细胞到细胞或从宿主到宿主传播的主要形式。 目前,病毒一词的涵义可以是:指那些在化学组成和增殖方式是独具特点的,只能在宿主细胞内进行复制的微生物或遗传单位。它的特点是:只含有一种类型的核酸(DNA或RNA)作为遗传信息的载体;不含有功能性核糖体或其它细胞器;RNA病毒,全部遗传信息都在RNA 上编码,这种情况在生物学上是独特的;体积比细菌小得多,仅含有少数几种酶类;不能在无生命的培养基中增殖,必须依赖宿主细胞的代谢系统复制自身核酸,合成蛋白质并装配成完整的病毒颗粒,或称病毒体(完整的病毒颗粒是指成熟的病毒个体)。 病毒性质的两重性; 一、病毒生命形式的两重性 1、病毒存在的两重性病毒的生命活动很特殊,对细胞有绝对的依存性。其存在形式有二:一是细胞外形式,一是细胞内形式。存在于细胞外环境时,则不显复制活性,但保持感染活性,是病毒体或病毒颗粒形式。进入细胞内则解体释放出核酸分子(DNA或RNA),借细胞内环境的条件以独特的生命活动体系进行复制,是为核酸分子形式。 2、病毒的结晶性与非结晶性病毒可提纯为结晶体。我们知道结晶体是一个化学概念,是很多无机化合物存在的一种形式,我们可以认为某些病毒有化学结晶型和生命活动型的两种形式。 3、颗粒形式与基因形式病毒以颗粒形式存在于细胞之外,此时,只具感染性。一旦感染细胞病毒解体而释放出核酸基因组,然后才能进行复制和增殖,并产生新的子代病毒。有的病毒基因组整合于细胞基因组,随细胞的繁殖而增殖,此时病毒即以基因形式增殖,而不是以颗粒形式增殖,这是病毒潜伏感染的一种方式。 二、病毒结构和功能的两重性
检验PE文件的有效性 <1>首先检验文件头部第一个字的值是否等于IMAGE_DOS_SIGNATURE,是则表示DOS MZ header有效 <2>一旦证明文件的Dos header 有效后,就可用e_lfanew来定位PE header <3>比较PE header 的第一个字的值是否等于IMAGE_NT_HEADER,如果前后两个值都匹配. PS.WinHex使用方法 1.Alt+G跳到指定位置 2.Ctrl+Shift+N放入新文件 3.大文件扩容,新建一个扩容大小+1的文件,把这个文件的数据复制后写入整个文件的尾地址. 4.文本搜索ctrl+F 5.十六进制搜索ctrl+alt+x 6.文本显示F7 7.打开内存alt+F9 8.进制转换器F8 9.分析选块F2 10.计算HASH ctrl+F2 11.收集文本信息ctrl+F10 12.编辑模式F6 一.IMAGE_DOS_HEADER <1>位置00H,WORD(2个字节)的e_magic为4D5A,即MZ <2>位置3CH,60,LONG(4个节节)的e_lfanew为64+112=176即B0H, 二.IMAGE_NT_HEADERS <1>位置B0H,DWORD(4个字节),PE开始标记,写入50450000,即PE <2>位置B4H,WORD,PE所要求的CPU,对于Intel平台,为4C01 <2>位置B6,WORD,PE中段总数,计划有3个段,.text代码段,.rdata只读数据段,.data全局变量数据段,所以值为0300, <3>位置C4,WORD,表示后面的PE文件可选头的占空间大小,即224字节(E0),值为E000 <4>位置C6,WORD,表示文件是EXE还是DLL,如果是可执行文件写0200,如果是dll,写0020, <5>位置C8,WORD,表示文件格式,如果是0B01表示.exe,如果是0701表示ROM映像
阅读精选(1): 计算机病毒的特点有:寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性等,本文将为您详细介绍计算机病毒的特点以及预防措施。 寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在 未启动这个程序之前,它是不易被人发觉的。 传染性 潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五 病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会立刻发作,因此病毒能够静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等; 隐蔽性 计算机病毒具有很强的隐蔽性,有的能够透过病毒软件检查出来,有的根本就查 不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。 破坏性 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到 不一样程度的损坏。通常表现为:增、删、改、移。 可触发性 病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自我,病毒务必潜伏,少做动作。如果完全不动,一向潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它务必具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。 阅读精选(2): 计算机病毒一般具有以下特性: 1.计算机病毒的程序性(可执行性) 计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,
1.病毒的特性 2.病毒的本质: 病毒属于微生物界,其不同于其他微生物的特性包括: (1)病毒一般只含有一种核酸——DNA或RNA,而其他微生物,包括细菌、支原体、立克次氏体和衣原体,则都同时含有两种核酸。 (2)病毒通过基因组复制和表达,产生子代病毒的核酸和蛋白质,随后装配成完整的病毒粒子;而其他微生物,则是核酸和许多其他组成成分一起参与生长、增殖过程,并常以二 分裂或类似的方式进行。 (3)病毒缺乏完整的酶系统,不具备其他生物“产能”所需的遗传信息,因此必须利用宿主细胞的酶类和产能机构,并借助宿主细胞的生物合成机构复制其核酸以及合成由其核酸 编码的蛋白质,乃至直接利用细胞成分。可以这样认为,病毒的生物合成实质上是病毒 遗传信息控制下的细胞生物合成过程。 (4)某些RNA病毒(反转录病毒)的RNA经反转录合成互补DNA(cDN A1℃)与细胞基因组整合,并随细胞DNA的复制而增殖,这就是所谓的DNA前病毒。 (5)病毒没有细胞壁,也不进行蛋白质、糖和脂类的代谢活动,因此对于因干扰微生物的这些代谢过程而影响微生物结构和功能的抗生素,具有明显的抵抗力。 病毒的定义: 病毒属于最小的生命形态,是只能在宿主细胞内才能复制的微生物。当然这是指自然状态的病毒而言,因在人工实验条件下,人们已经掌握在无细胞(cell-free)系统中复制病毒的技术。2.病毒的起源:是指病毒的来源及其演化 关于病毒的起源问题,众说纷纭,归纳起来主要有以下三种假说: (1)认为病毒是原始生物物种的后裔; (2)认为病毒来源于细胞核酸; (3)认为病毒是某些较高级微生物的退行性生命物质 3.病毒的形态结构: 病毒形态是指电子显微镜下观察到的病毒的大小、形态和结构。 一个简单的病毒粒子,实质上只是一团遗传物质(DNA或RNA)和它外围的一层蛋白外壳。这层蛋白外壳就是衣壳,具有保护病毒核酸的作用,同时也是病毒核酸有一个宿主细胞转移到另一个宿主细胞的工具。衣壳和核酸一起总称为核衣壳。在某些病毒,核衣壳就是病毒粒子。但在结构比较复杂的病毒中,则衣窍外面还有一层(或多层)富含脂质的外膜,即囊膜。某些病毒,如流感病毒,在囊膜和核衣壳之间还有一层病毒特意的内膜蛋白,即M蛋白。囊膜的组成成分主要来自宿主细胞,大多是核衣壳在感染细胞内穿越核膜或在感染细胞表面“出芽”时有细胞获得。
计算机病毒基本特征是什么 计算机病毒基本特征介绍一: (1)非授权可执行性 计算机病毒具有正常程序的一切特性,它隐蔽在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取得到系统控制权,先于正常程序执行。 (2)广泛传染性 计算机病毒通过各种渠道从已经被感染的文件扩散到其他文件,从已经被感染的计算机扩散到其他计算机,这就是病毒的传染性。传染性是衡量一种程序是否为病毒的首要条件。 (3)潜伏性 计算机病毒的潜伏性是指病毒隐蔽在合法的文件中寄生的能力。 (4)可触发性 指病毒的发作一般都有一个激发条件,即一个条件控制。一个病毒程序可以按照设计者的要求在某个点上激活并对系统发起攻击。 (5)破坏性 病毒最根本目的还是达到其破坏目的,在某些特定条件被满足的前提下,病毒就会发作,对计算机系统运行进行干扰或对数据进行恶意的修改。
(6)衍生性 计算机病毒可以被攻击者所模仿,对计算机病毒的几个模块进行修改,使之成为一种不同于原病毒的计算机病毒。 (7)攻击的主动性 计算机病毒为了表明自己的存在和达到某种目的,迟早要发作。 (8)隐蔽性 指病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现,同时又是难以预料的。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,病毒转瞬之间便可附着到正常程序之中,使人非常不易被察觉。 (9)寄生性 计算机病毒是一种可直接或间接执行的文件,是没有文件名的秘密程序,但它的存在却不能以独立文件的形式存在,它必须是以附着在现有的硬软件资源上的形式而存在的。 相关阅读: 计算机病毒分类 (1)按传染方式 分为:引导型病毒、文件型病毒和混合型病毒。 引导型病毒嵌入磁盘的主引导记录(主引导区病毒)或dos引导记录(引导区病毒)中,当系统引导时就进入内存,从而控制系统,进行传播和破坏活动。 文件型病毒是指病毒将自身附着在一般可执行文件上的病毒,以文件为感染。目前绝大多数的病毒都属于文件型病毒。
篇一:病毒总结 1. 计算机病毒的组成 a) 引导模块 b) 感染模块 c) 破坏模块 d) 触发模块 2. 计算机病毒的特征 a) 驻留内存 b) 病毒变种 c) epo技术 d) 抗分析技术 e) 隐蔽性病毒技术 f) 多态性病毒技术 g) 插入型病毒技术 h) 自动生产技术 i) 网络病毒技术 3. 各个操作系统下病毒的分类及原理 (1)攻击dos系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。 a) 文件型病毒 b) 引导性病毒 既感染主引导区或引导区,又感染感染文件的病毒被称为混合型病毒。如:“幽灵”病毒(onehalf),natas病毒等。 dos引导型病毒分为单纯引导型病毒、文件/引导混合型病毒,该类病毒一般会感染主引导记录和dos引导记录,将病毒体直接写入对应的扇区内,在bios执行完毕,将硬盘引导记录调入内存,并开始引导时,病毒就已经进入内存。一般情况下该类病毒修改int13的中断服务程序,以达到获取控制权的目的。在发生磁盘io时,int13被调用,病毒就开始传染和发作。严重时此类病毒会将引导记录和分区表同时篡改,造成整个计算机内磁盘数据的丢失,危害极大。 如果主引导区感染了病毒,用格式化程序(format)是不能清除该病毒的,可以用fdisk/mbr清除该病毒。但如果是被monkey或onehalf这类的病毒感染,采用fdisk/mbr会丢失数据或使c盘无法找到。 引导区感染了病毒,用格式化程序(format)可清除病毒。 (2)攻击windows系统的病毒。由于windows的图形用户界面(gui)和多任务操作系统深
三年前,我曾经写了一个手工打造可执行程序的文章,可是因为时间关系,我的那篇文章还是有很多模糊的地方,我一直惦记着什么时候再写一篇完美的,没想到一等就等了三年。因为各种原因直到三年后的今天我终于完成了它。现在把它分享给大家,希望大家批评指正。 我们这里将不依赖任何编译器,仅仅使用一个十六进制编辑器逐个字节的手工编写一个可执行程序。以这种方式讲解PE结构,通过这个过程读者可以学习PE结构中的PE头、节表以及导入表相关方面的知识。为了简单而又令所有学习程序开发的人感到亲切,我们将完成一个Hello World! 程序。功能仅仅是运行后弹出一个消息框,消息框的内容是Hello World!。 首先了解一下Win32可执行程序的大体结构,就是通常所说的PE结构。 如图1所示PE结构示意图: 图1 标准PE结构图 由图中可以看出PE结构分为几个部分: MS-DOS MZ 头部:所有PE文件必须以一个简单的DOS MZ 头开始。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header 之后的DOS程序。以此达到对Dos系统的兼容。(通常情况DOS MZ header总共占用64byte)。 MS-DOS 实模式残余程序:实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单显
示一个错误提示,大多数情况下它是由汇编编译器自动生成。通常,它简单调用中断21h,服务9来显示字符串"This program cannot run in DOS mode"。(在我们写的程序中,他不是必须的,可以不予以实现,但是要保留其大小,大小为112byte,为了简洁,可以使用00来填充。) PE文件标志:是PE文件结构的起始标志。(长度4byte, Windows程序此值必须为0x50450000) PE文件头:是PE相关结构 IMAGE_NT_HEADERS 的简称,其中包含了许多PE装载器用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从DOS MZ header中找到PE header的起始偏移量,跳过了MS-DOS 实模式残余程序,直接定位到真正的文件头PE header,长度20byte。 PE文件可选头:虽然它的名字是“可选头部”,但是请确信:这个头部并非“可选”,而是“必需”的。(长度 224byte )。 各段头部:又称节头部,一个Windows NT的应用程序典型地拥有9个预定义段(节),它们是“.text”、“.bss”、“.rdata”、“.data”、“.rsrc”、“.edata”、“.idata”、“.pdata”和“.debug”。一些应用程序不需要所有的这些段,同样还有些应用程序为了自己特殊的需要而定义了更多的段。(每个段头部占40byte,我们这里也不需要所有的段,仅需3个段。) 通常我们是将PE整个结构分成四个部分,把MS-DOS MZ 头部和MS-DOS 实模式残余程序作为第一部分,可以称他为DOS部分,而PE文件标志、PE文件头、PE文件可选头三个部分作为第二部分,称之为PE头部分,因为这部分才是Windows下真正需要的部分,所以从PE文件标志开始才是真正的PE部分。各段头部是第三部分,称之为节表。它详细描述了PE文件中各个节的详细信息。最后就是各个节的实体部分了,称为节数据。 以上仅仅是对PE结构各部分的大体讲解。接下来再手写这个Hello World!程序过程中,我将详细介绍每个部分的含义。 首先准备一下工具,一个十六进制编辑器足以。我们这里使用VC++ 6.0所携带的十六进制编辑器,您也可以使用如WinHex等十六进制编辑工具。 打开VC,选择文件,新建菜单项,然后选择一个二进制文件,单击确定。一切就绪了,下面就开始手写可执行程序,如图2所示:
甲壳虫免杀VIP教程 https://www.doczj.com/doc/965475548.html, 专业的免杀技术培训基地 我们的口号:绝对不一样的免杀教程!绝对不一样的实战体验!清晰的思路!细致全面的讲解!让你感到免杀原来可以这么简单! 动画教程只是起到技术交流作用.请大家不用利用此方法对国内的网络做破坏. 国人应该团结起来一致对外才是我们的责任.由此动画造成的任何后果和本站 无关. -------------------------------------------------------------------- 【免杀PE结构班】制作:Just41(carrieyz) 第四节【PE文件常见区段及其代码类型】 一、区段表的结构 PE文件格式中,所有的区段信息位于可选PE头之后。每个区段信息为40个字节长,并且没有任何填充信息。区段信息被定义为以下的结构: 学名:免杀技术说明大小LOADPE Name:区段名称,如".text" [8h] SizeOfRawData:RV A偏移大小[4h] VSize VirtualAddress:区段RV A起始地址[4h] VOffset PointerToRawData:区段物理偏移大小(偏移量)[4h] RSize PhysicalAddress:区段物理起始地址[4h] ROffset VirtualSize:真实长度[4h] PointerToRelocations:重定位的偏移[4h] PointerToLinenumbers:行号表的偏移[4h] NumberOfRelocations:重定位项数目[2h] NumberOfLinenumbers:行号表的数目[2h] Characteristics:区段属性[4h] 标志 计算方式: 区段表的文件偏移地址=PE头的文件偏移地址+14h+可选PE头大小+1 首先从0X3Ch处得到PE头的文件偏移地址,然后由PE头的文件偏移地址+14h得到可选PE头大小,再将上面三个数据相加再+1就得到区段表的文件偏移地址了。 VSize的大小只是效验下是否跨越下一个节了,或者是否超出了SizeOfImage,如果出现越界问题,提示非法32位应用程序,否则的话,它的值没有意义,节的大小不是由它决定的......对非最后一个节,按节间VOffset之差,最后一节用SizeOfImage-VOffset。
计算机病毒的特征 1.传染性 计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 2.非授权性 一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。 3.隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。 大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。 4.潜伏性 大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。 5.破坏性 任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将
pe文件格式:PE文件格式(1) 疯狂代码 https://www.doczj.com/doc/965475548.html,/ ?:http:/https://www.doczj.com/doc/965475548.html,/Waigua/Article60255.html 介绍说明:希望本文能够对初级入门CRACKER有定帮助翻译存在疏漏或者不准确希望来信指出感谢您指导!感谢看雪为我们提供这个交流平台让我们技术和时俱进!! 前言: PE("portableexecutable")文件格式是针对MSwindowsNT,windows95and win32s可执行 2进制代码(DLLsandprograms)在windowsNT内,驱动也是这个格式也可以用于对象文件和库 这个格式是Microsoft设计并在1993经过TIS(toolerfacestandard)委员会 (Microsoft,Intel,Borland,Watcom,IBM等)标准化了它基于在UNIX和VMS上运行对象文件和可执行文件COFF"commonobjectfileformat"格式 win32SDK包括个头文件