PE病毒的入侵途径和防治措施
[摘 要]由于windows操作系统的广泛使用,pe病毒已经成为当前危害计算机安全的主要病毒之一。针对传播最广泛、危害最大、使用了多态变化技术的windows pe文件病毒的pe病毒,本论文详细的分析了windows pe文件结构及pe病毒的入侵原理,针对windows pe病毒的特点,提出了windows pe文件病毒的防御思想,即在病毒传播时期就把其拒之于系统之外,使其失去寄宿生存的空间,再配合一般的杀毒技术,可以有效的防杀windows pe病毒,使系统的安全性和稳定性大大提高,最后有针对性地提出对pe病毒预防的多种有效策略,从而为防毒、杀毒提供必要的理论依据。
[关键词]pe病毒 入侵途径 防治措施
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面。计算机病毒一般都具有潜伏传染激发破坏等多种机制,但其传染机制反映了病毒程序最本质的特征,离开传染机制,就不能称其为病毒。因此,监控和及时发现计算机病毒的传染行为,是病毒制造者和安全专家的争夺焦点。目前主流的操作系统是windows操作系统,利用windows操作系统中存在的漏洞和系统程序接口,
病毒可轻易获取控制权,感染硬盘上的文件,并进行破坏。因此计算机病毒入侵途径和防治研究显得尤为重要。
病毒要在windows操作系统上实现其感染目的是要获得系统的控制权,而感染可执行文件时取得控制权的最好途径。在windows nt/xp/2000/98/95等系统下,可执行文件和动态链接库均采用的是现代文秘专业学什么pe文件格式。只有透彻研究了欻怎么读>环保袋做衣服pe的文件格式,才能了解病毒如何寄生在文件中,才能有的放矢的采取对策以检测和制止病毒的入侵。在各种病毒中,又以pe病毒数目最大,传播最广,破坏力最强,分析pe病毒有非常重要的意义。因此本文将重点介绍pe病毒的入侵途径和防治措施。
一、pe病毒
1.pe病毒的定义
一个正常的程序感染后,当你启动这个程序的时候,它通常会先执行一段病毒代码,然后自身运行,这样病毒就悄无声息的运行起来,然后再去感染其他pe文件,这就是pe病毒的行为。
2.pe病毒的特征
(1)具有感染性。该类病毒通过感染普通pe.exe文件并把自己的代码加到exe文件的尾部,修改原程序的入口点以指向病毒体,病毒本身没有什么危害,但是被感染的文件可能被破坏而不能正常运行。
(2)潜伏性。指病毒依附于其他文件而存在,即通过修改其他程序而把自身的复制品嵌入到其他程序中。
(3)可触发性。即在一定的条件下激活这类病毒的感染机制使之进行感染。
(4)破坏性。病毒一旦感染其他文件,病毒本身没什么危害,但是会导致被感染的文件丢失数据或被破坏而不能正常运行。
3.pe文件格式
牛年大气简短的新年贺词在pe文件格式中有一个重要的概念相对偏移量(rav),夜久语声绝rav是虚拟空间中某句代码到参考点的一段距离。例如,如果pe文件装入虚拟地址(va)空间的400000h处,且进程从虚拟4
01000h开始执行,就可以说进程执行起始地址在rva1000h。pe文件格式用到rva的原因是为了减少pe装载器的负担,因为每个模块都有可能被重载到任何虚拟地址空间。
pe文件格式被组织为一个线性的数据流,他由一个ms-dos头部开始,接着是实模拟程序残余以及一个pe文件标识,之后紧接着pe台式机添加硬盘文件头和可选头部。这些之后是所有的段头部,断头不之后跟随者所有的段实体。文件的结束处事一些其它的区域,其中是一些混杂的信息,包括重分配信息、符号表信息、行号表信息以及字符串数据。如图:
(1)ms-dos头部、实模式头部
如上所述,pe文件格式的第一个组成部分是ms-dos头部。保留这个相同的结构的最主要原因是:当在windows3.1一下或ms-dos2.0以上的系统下装在一个文件的时候,操作系统能够读取这个文件并明白是和当前系统不相兼容的。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论