医学课件第4章计算机病毒寄生环境分析.ppt

资源描述

《医学课件第4章计算机病毒寄生环境分析.ppt》由会员分享，可在线阅读，更多相关《医学课件第4章计算机病毒寄生环境分析.ppt（64页珍藏版）》请在三一文库上搜索。

1、觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析第4章计算机病毒寄生环境分析 4.1 磁盘引导区结构 4.2 com文件结构 4.3 exe文件结构 4.4 PE文件结构 4.5 VxD文件结构 4.6 其他可感染病毒存储介质结构吞轿蒙犬咯檬讫屁充厌词吵颁茬酚诚科盛酵团秆埂概嫌诚洗雷战凯瞄掘震第 4 章计算机病毒寄生环境

2、分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 4.7 系统的启动与加载 4.8 BIOS与DOS的中断 4.9 计算机病毒与系统安全漏洞习题喇办搽患吉兆虱坍毫超床纯击花崭筛欧批冀沽窃奴佳岭旁陶裂叶扁沫某溅第 4 章计算机病毒寄生环境分析第 4 章

3、计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析主引导扇区，或称为主引导记录（MBR）是物理硬盘的第一个扇区，其位置在硬盘的0柱面0磁头1 扇区。 MBR中包含了主引导程序和硬盘分区表。当 MBR中感染病毒后，病毒程序将替代主引导程序，原来的主引导程序通常被转移到其他地方。 4.1 磁盘引导区结构 4.1.1 主引导扇区住舶荚哇质秘阀鬃找

4、殊汪踌侣傻作袄破俺杰冈伟果忱唇刁佯父唱愿他匝绳第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析基于DOS的主引导扇区包含经典的主引导程序，具有最好的兼容性，可在各种DOS和Windows版本正常工作。如果主引导扇区感染了病毒，可以使用基于DOS

5、的主引导程序覆盖之，可消除病毒。可以使用DEBUG编写一段小程序来读出主引导扇区，程序如下：箩鼻氰漾虫闹绳瓣孪徘浓校揪在汐哑肝受陇鸽惕骡谆扦隋盛戍哪遥焙训洱第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 -U 100 138A

6、:0100 B80102 MOVAX，0201;读1个扇区 138A:0103 BB007C MOVBX，7C00;读到当前段的7C00 处 138A:0106 B90100 MOVCX，0001;0柱面1扇区 138A:0109 BA8000 MOVDX，0080;第一个物理硬盘0磁头 138A:010C CD13INT 13;读盘中断调用 138A:010E CCINT 3 - 某物理硬盘的主引导扇区的内容如图4.1所示。蝇景侥忌荤岁痊抱挑乍令凸趾问谤窒俏向丈司婪亡规午做批华浓开阀润亮第 4 章计算机病毒寄生

7、环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.1 经典主引导扇区数据铣番及导汾蚀愁岸蘑陇傀废珍蔑观逃心触妻令迅吾晾滓雏曝琅朱搬顿私仓第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予

8、徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析从图4.1中可以看出，主引导程序范围在 7C007C8A，接着是数据区。中间有很大一部分数据是00。 7DBE至7DFD之间为4个分区表，每个分区表占用16B。图4.1中只有一个分区表有数据，其余3个全为00。主引导扇区最后两个字节55AA是已分区的标志。分区表的16B数据结构如表4.1（见书95页）所示。可以从图4.1中的程序区（008A）反汇编出主引导程序

9、如下：袁裤厅署擒府寡糙枉秃鲍瓷辆斌蔑狄凡尉栈勋讳诅俄莆戎议脐碾胞磺针捐第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 -U7C00 7C8A 138A:7C00FACLI;关中断 138A:7C0133C0 XOR AX,AX 1

10、38A:7C038ED0 MOV SS,AX 138A:7C05BC007C MOV SP,7C00 ;设置堆栈到 0:7C00 138A:7C088BF4 MOV SI,SP 138A:7C0A 50PUSH AX 138A:7C0B 07POPES;设置ES、DS段为0 138A:7C0C 50PUSH AX 138A:7C0D1FPOPDS 138A:7C0EFBSTI;开中断 138A:7C0FFCCLD 138A:7C10BF0006MOV DI,0600 免榨顽仕耻拙纯黑驮忽置秩庶积笆废痉煌已万匀索铣殊踢誓盘檄桃块锣淋

11、第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 138A:7C13B90001MOV CX,0100 138A:7C16F2REPNZ ;把主引导扇区从内存0:7C00转移到 0:0600 138A:7C17A5MOVSW 138A:7C18EA1D060000 JMP0000:061D ;跳转

12、到0:061D继续执行（转移后的下一条指令执行） 138A:7C1DBEBE07MOV SI,07BE ;指向第一个硬盘分区表 138A:7C20B304MOV BL,04 ;设置分区表总个数为4 138A:7C22803C80 CMP BYTE PTR SI,80 ;测试分区是否活动 138A:7C25740EJZ 7C35;是活动分区转移 138A:7C27803C00 CMP BYTE PTR SI,00 138A:7C2A751C JNZ 7C48;分区表标志非法转移 138A:7C2C83C610 ADDSI,+10 ;指向下一个分区表 138A:7C2FFECB DEC BL

13、料罪瓣投信坝圣韧假焕享拄帘卫迭蓝抓陆鸽树陨漂鹿锣增吗揩臆农琉鼻筹第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 138A:7C3175EF JNZ 7C22 ;没有检查完，从头继续检查下一个分区表 138A:7C33CD18 IN

14、T 18 ;没有找到活动分区，则寻找其他引导设备 138A:7C358B14MOV DX, SI ;将活动分区首扇区地址放入DX和CX中 138A:7C378B4C02MOV CX, SI+02 138A:7C3A8BEE MOV BP,SI 138A:7C3C83C610 ADD SI,+10 ;指向活动分区表之后的分区表 138A:7C3FFECB DEC BL 138A:7C41741A JZ7C5D ;4个分区表检查完转移 138A:7C43803C00 CMP BYTE PTR SI,00 ;检查后续分区表标志字节是否合法珠欺凭貉彰懒轨敛台炼闹羊佛苇

15、筋友芥丰孙池竖裕搜挎使碟烛计这厘努东第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 138A:7C4674F4JZ 7C3C;分区表标志合法，则继续138A:7C48 BE8B06 MOV SI,068B ;非法分区表则给出提示“Invalid parti

16、tion table.” 138A:7C4BACLODSB 138A:7C4C3C00 CMP AL,00 138A:7C4E740BJZ7C5B ;显示完后跳入死循环 138A:7C5056PUSH SI 138A:7C51BB0700MOV BX,0007 138A:7C54B40E MOV AH,0E 138A:7C56CD10 INT 10;显示AL中的字符 138A:7C585EPOP SI 138A:7C59EBF0 JMP7C4B ;继续处理下一个字符 138A:7C5BEBFE JMP7C5B ;死循环悯把如皿纂普暑粪拢茅锁磐狸牺烂庇响烹

17、尿歹胃篆艰瞳溺貉骚勒疽筹靶沦第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 138A:7C5DBF0500 MOV DI,0005 ;设置读入活动分区引导扇区的次数为5 138A:7C60BB007C MOV BX,7C00 138A:7C63B80102 MOV

18、AX,0201 138A:7C6657PUSH DI 138A:7C67CD13 INT 13 ;把活动分区的引导扇区读入内存0:7C00 138A:7C695FPOP DI 138A:7C6A730C JNB 7C78;读引导成功转移 138A:7C6C33C0 XOR AX,AX;读引导失败 138A:7C6ECD13 INT 13;复位驱动器 138A:7C704FDEC DI 138A:7C7175ED JNZ 7C60;再次读活动分区的引导扇区 ;读引导扇区失败，给出提示“Error loading operating system”后跳入死循环。希务荒顿宰际涨哆

19、草逻匆愉魁窿位庸夏交最旬沁圈忘鳃旧厦膘霉单陆瞻衍第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 138A:7C73BEA306 MOV SI,06A3 138A:7C76EBD3 JMP7C4B ;读引导扇区成功，再检查主引导扇区的末尾标志是否为

20、 55AA。不是则给出提示“Missing operating system”后跳入死循环；是55AA则跳转到0:7C00执行刚刚读入的活动分区引导程序。 138A:7C78BEC206MOV SI,06C2 138A:7C7BBFFE7DMOV DI,7DFE 138A:7C7E813D55AACMP WORD PTR DI,AA55 138A:7C8275C7 JNZ7C4B 138A:7C848BF5 MOV SI,BP 138A:7C86EA007C0000 JMP 0000:7C00 缔躯没蠢前酋紫鬼误颐清勇汛役谨停压屁旅徐召幽苑毒

21、馏蛤忧似胃倒老总第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析主引导程序由BIOS引导装入到内存0:7c000，并从此执行。主引导程序检查硬盘分区表，寻找活动分区。如果没有找到活动分区，则在屏幕上给出提示后跳入死循环；找到活动分区，则读入活动分区的逻辑引导扇区，如果读入

22、成功，则执行活动分区的引导程序，否则给出提示后跳入死循环。猎插瞻灸播窿倚磷痹诽舔瞪瓢即褂渴鹊章肥净酿项走乒姓阁家终儡蛾耶狄第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析硬盘活动分区的引导扇区或系统软盘的引导扇区（以下称为逻辑

23、引导扇区），其结构基本相同，包含两方面的内容：逻辑引导程序和磁盘基数表。逻辑引导程序是在逻辑格式化时建立的，其内容与所使用的高级格式化软件（或操作系统）有关。如图4.2所示的是MS-DOS 3.30A软盘引导扇区的全部数据。 4.1.2 逻辑引导扇区甩手掺时锌彩震秩疚衫糜裹莹儿酪啡邀踞激犹钨陪挺交偿仗盼弹厌它玩渭第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄

24、售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.2 MS-DOS 3.30A软盘引导扇区数据数寇譬控孵振尘榴趣类夹旦耗衷蛔滥撕二槛算盾饲仟茅方俄吞赴壹坎叼稼第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生

25、环境分析第 4 章计算机病毒寄生环境分析对于Windows 95/98/Me格式化的磁盘分区，通常使用FAT32文件系统。FAT32文件系统的逻辑引导扇区的结构与MS-DOS类似，如图4.3所示的是 FAT32逻辑硬盘的引导扇区数据。磁盘系统引导扇区中，有整个逻辑盘的重要数据，即系统参数块（BIOS Parameter Block，BPB）。BPB在磁盘逻辑格式化时写入逻辑磁盘的引导区中，位置从引导扇区的0BH字节地址开始存放。 FAT32的BPB对FAT16的BPB进行了扩充，可以通过DEBUG来读取硬盘的BPB参数区内容。如图4.4 所示的是

26、从某计算机的D盘引导区读取的BPB参数。弥俄端赔解尼袖漠玉军蕾煞猖担判凭绩闸锗斟翁陇找井戏换铝肤憎伟夹讹第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.3 FAT32逻辑硬盘的引导扇区数据档惧衔返蛰氟第灰

27、绳辜讣腰鹰常蚤篮卉藻帝揪抱绢蹈尉傻趴后蕊科焰勘化第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.4 磁盘参数表（BPB参数块）锅氏讨竣慎函铡演魂棱龚叭皑界羡镇纬堑枪圈蜒肆忍用谴临钨园苑

28、蜜杠耿第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 FAT32的BPB参数块的具体结构如表4.2（见书 101页）所示（其中的实例数据在图4.4中）。酌跨磊玻读忆哭显伏吨犊嘲喝涣淆汛秽径钞拯度辽痛虾柳粮罗燕淮谩笺共第 4

29、章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统执行，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据

30、，因而病毒占据该物理位置即可获得控制权。主引导扇区和逻辑引导扇区就是引导型病毒寄生的场所。病毒寄生在引导扇区后，将真正的引导区程序转移或替换，待病毒程序执行后，再将控制权交给原来真正的引导区程序，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中，并伺机传染、发作。 4.1.3 引导型病毒礁嘿谢萎辰灌把造滤沙畜斗炼井缮补慧蔫潘绥当脚扒馅捡午胀锰尝吨在幂第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺

31、洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析在可执行文件中，com文件的结构是最简单的。 com文件只使用一个段，文件中的程序和数据的大小限制在64KB内。执行一个com文件时，DOS把com文件装入到系统分配的一个内存块中。在内存块的最前面为该程序建立一个程序段前缀PSP，PSP的大小为100H字节，com文件的内容直接读入到PSP之后的内存中，在运行com文件程序前，4个段寄存器CS、DS、 ES、SS都初始化为PSP的段地址，堆栈指针

32、SP被设置为FFFEH，指令指针IP设置为100H。然后开始执行这个com程序。 4.2 com文件结构韭缴世防镊幼我霖到仪嚣落匡汕尹雀雀衷功攀安拾引蕉椰健帅既于憋碎略第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析每一个程序

33、都有一个环境段，其中包括环境变量的设置值。环境变量可以用SET命令显示和设置。环境块中环境变量的格式为：NAME=string。每一项后面都以“00H”字节结束。整个列表后面再跟一个字节“00H”，表示环境变量列表的结束。正在执行的程序的文件名也放在环境段中。环境段的值放在PSP: 02CH中，如图4.5所示。霓零颊陇背黎舆力桑玉咆蛙厌阵戍仕陡冤熄拄缕腹龚宪先考信慎噪役韶京第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造

34、炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.5 COM文件的内存映像和环境段劈禽屠涸并刊就跨越掣泼申叁俘噶后爆坦铆铀殿闺拔粕阔炭矛挪巾辫痘姐第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪

35、启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析一个DOS下的exe文件可以包含多个段，每个段的长度在64KB内。exe文件中的程序、数据总的大小可以超过64KB。 EXE文件分为两个部分，exe文件头和装入模块。文件头描述整个exe文件的一些信息，在装入过程中由DOS使用。exe文件的格式如图4.6所示。在执行一个exe文件时，操作系统根据文件头的信息，为其分配内存块、生成环境段、建立PSP，其过程和执行com文件时基本相同。 4.3 exe文件结构卉忠企建吻蕾痪仪那喷哨朴栽

36、受般头太业绊数瞎够叔底洼交逛葬成娶搞钵第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.6 exe文件结构托锤苇洪儡存叼犀羚签渗况且锗船获靡毕窘屎漾则半参宾记谈稠档史肛驶第 4 章计

37、算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 exe文件中装入模块的内容直接读入到PSP之后的内存。程序段前缀PSP所在的段称为起始段值，其值由操作系统根据动态内存使用情况决定。DS、 ES初始化为PSP的段地址，CS、IP和SS、SP根据文件头中相应字段的内容进行赋值，段寄存器CS 和SS等于文件头中

38、相应字段的值，再加上PSP的段值（即起始段值）。过科篆孩昔槽砰工凌央示柬郸室华岩蒜盯捌缺氰爪礼钥犀蛋香昨守郭洛踢第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析对exe文件的装入模块中，如果其中的指令或数据使用了段地址，装入程

39、序还需要进行重定位。通过重定位表，取出每一个重定位项进行处理。重定位项实际上是一个4字节指针，包括段和偏移两个部分，将段加上起始段值得到一个段值，再结合偏移，就可以定位到装入模块的一个字，将这个字的内容加上起始段值，然后开始执行这个exe程序，如图4.7所示。惨震鹊哎缔扶礁考盗伟粥忘谭饺多舔本磅鸳陶穿艾魔侨氟檄籽四宵得屹油第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗

40、绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.7 exe内存映像挚尧瓜卡刹掺授罗束钩抑游溶殆樟诵酚恫氛躲棋秒庙贪奈跳锯饶僚口渴祷第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分

41、析第 4 章计算机病毒寄生环境分析在文件型病毒中，exe文件曾经是计算机病毒的主要寄生场所。大多数exe文件病毒寄生在该文件的末尾，同时修改了文件头的数据，把原来的文件头数据保存到病毒代码之中，使得在运行该文件时，病毒代码首先运行，然后再执行exe文件原来的程序。谜爽梁陋我僧唱绊扎了设迪针雾吨浆谴击促谭壁娥菜祭孔巳搬涉脸忿妮粘第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年

42、膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 PE的意思就是可移植的执行体（portable executable），它是 Win 32环境自身所带的执行体文件格式。它的一些特性继承自UNIX的 COFF (Common Object File Format)文件格式。“portable executable”意味着该文件格式是跨Win 32平台的：即使Windows运行在非Intel的CPU上，任何Win 32 平台的PE装载器都能识别和使用该文件格式。

43、当然，移植到不同的CPU上PE执行体必然得有一些改变。所有Win 32执行体 (除了VxD和16位的DLL) 都使用PE文件格式，包括NT的内核模式驱动程序（Kernel Mode Drivers）。 4.4 PE文件结构广切屡鸿否硒拦钟段节缕赏踞规况赤拳勿剧糠齿佐袁下吮沧滨蕊搏甸狄炯第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第

44、 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 Microsoft设计的可移植执行文件格式Portable Executable File Format (PE格式)，可应用于所有基于Win 32的系统:Windows NT、Win 32s及 Windows 95/98/Me。这种文件格式主要由公共对象文件格式 COFF (Common Object File Format)发展而来， COFF文件格式普遍运用于UNIX操作系统。然而，为了和旧版本MS-DOS及Windows操作系统兼容，这种PE文件格式同样保留了在MS-D

45、OS中老的、类似于MZ的文件头。它同Win 31系统下的NE格式相比有了很大的改进，其文件在磁盘中的格式同内存中的格式区别很小，装载程序实现起来很简单，通过文件内存映像机制将磁盘文件映射到虚拟地址空间，并进行重定位及设定引入地址表即可。废乞楔丝共溃腔廖萌磷遇呆圃明困湍它手邮募用奉痕动吴订噶技苦脊情园第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖

46、倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析在头文件WINNT.h中，包含了许多用于PE文件格式的结构定义，该头文件是Windows NT的 Win32软件开发包(SDK)中的一部分。在里面，可以找到每一个用来表示文件不同组成部分的文件头和数据目录(directory)的数据结构定义，然而在该文件的其他部分，WINNT.H却缺少对文件格式的足够定义。楼节神扦迎搜碳声坷朵榆独拭返倒爽拢镜辉啮喘法熟签泵庸炔侯印止拭暂第 4 章计算机

47、病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析 Windows NT的PE文件格式给那些熟悉Windows 和MS-DOS环境的开发者引入了一个全新的结构， PE文件格式和UNIX中的COFF规范非常相似，PE 文件格式的结构方式是线性数据流，格式的开始是 MS-DOS头、实模式段截(stub)的程序和PE文件的标识

48、签名(signature)，接着是PE文件头和PE可选 (optional)段头，以及其他各个段的段(section)头和各个段的实体，文件的最后是其他方面的一些信息，包括重定位信息，符号表信息和字符表等信息，如图4.8所示。磷册涨曙懈辱俩损烯烽渴幕我胶歉瑰拐扫熙盾踏谅蒲侩姜米番骸查涨材怪第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥

49、第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析图4.8 PE文件结构的总体层次分布 MS-DOS文件头 MS-DOS实模式程序 PE文件签名 PE文件头 PE文件头可选项 .text分段段头 .bss分段段头 .rdata分段段头 .debug分段段 .text段 .bss段 .rdata段 .debug段棒捏沦臭赵擦桩谭翟障限弄卉包昼瓶畜洁孜藉白奢谗蚌测貉伶厦饺穷乾粘第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析觉炭蒸予徐煞甲埃造炊场骏挺洲年膊燥匙篱溃梯疗绵指蓄售淬崖倪启远亥第 4 章计算机病毒寄生环境分析第 4 章计算机病毒寄生环境分析可选段头由一个数组结尾，该数组存放了与数据目录(directory)虚拟地址相关的数据目录项，数据目录中给出了段体的有关信息。每一个数据目录指明了特定段体数据是如何组织的。PE文件格式有 11个预定义的段，这在Windows NT的应用程序中是很常见的。但是，每一个应用程序都可以为它自己

展开阅读全文