本站原创[摘 要]由于Windows操作系统的广泛使用,PE病毒已经成为当前危害计算机安全的主要病毒之一.针对传播最广泛、危害最大、使用了多态变化技术的windows PE文件病毒的PE病毒,本论文详细的分析了windows PE文件结构及PE病毒的入侵原理,针对windows PE病毒的特点,提出了windows PE文件病毒的防御思想,即在病毒传播时期就把其拒之于系统之外,使其失去寄宿生存的空间,再配合一般的杀毒技术,可以有效的防杀windows PE病毒,使系统的安全性和稳定性大大提高,最后有针对性地提出对PE病毒预防的多种有效策略,从而为防毒、杀毒提供必要的理论依据.
[关 键 词 ]PE病毒 入侵途径 防治措施
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面.计算机病毒一般都具有潜伏传染激发破坏等多种机制,但其传染机制反映了病毒程序最本质的特征,离开传染机制,就不能称其为病毒.因此,监控和及时发现计算机病毒的传染行为,是病毒制造者和安全专家的争夺焦点.目前主流的操作系统是Windows操作系统,利用windows操作系统中存在的漏洞和系统程序接口,病毒可轻易获取控制权,感染硬盘上的文件,并进行破坏.因此计算机病毒入侵途径和防治研究显得尤为重要.
病毒要在Windows操作系统上实现其感染目的是要获得系统的控制权,而感染可执行文件时取得控制权的最好途径.在WINDOWS NT/XP/2000/98/95等系统下,可执行文件和动态链接库均采用的是PE文件格式.只有透彻研究了PE的文件格式,才能了解病毒如何寄生在文件中,才能有的放矢的采取对策以检测和制止病毒的入侵.在各种病毒中,又以PE病毒数目最大,传播最广,破坏力最强,分析PE病毒有非常重要的意义.因此本文将重点介绍PE病毒的入侵途径和防治措施.
一、PE病毒
1.PE病毒的定义
一个正常的程序感染后,当你启动这个程序的时候,它通常会先执行一段病毒代码,然后自身运行,这样病毒就悄无声息的运行起来,然后再去感染其他PE文件,这就是PE病毒的行为.
2.PE病毒的特征
(1)具有感染性.该类病毒通过感染普通PE.EXE文件并把自己的代码加到EXE文件的尾部,修改原程序的入口点以指向病毒体,病毒本身没有什么危害,但是被感染的文件可能被破坏而不能正常运行.
(2)潜伏性.指病毒依附于其他文件而存在,即通过修改其他程序而把自身的复制品嵌入到其他程序中.
(3)可触发性.即在一定的条件下激活这类病毒的感染机制使之进行感染.
(4)破坏性.病毒一旦感染其他文件,病毒本身没什么危害,但是会导致被感染的文件丢失数据或被破坏而不能正常运行.
3.PE文件格式
在PE文件格式中有一个重要的概念相对偏移量(R),R是虚拟空间中某句代码到参考点的一段距离.例如,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚拟401000h开始执行,就可以说进程执行起始地址在RVA1000h.PE文件格式用到RVA的原因是为了减少PE装载器的负担,因为每个模块都有可能被重载到任何虚拟地址空间.
PE文件格式被组织为一个线性的数据流,他由一个MS-DOS头部开始,接着是实模拟程序残余以及一个PE文件标识,之后紧接着PE文件头和可选头部.这些之后是所有的段头部,断头不之后跟随者所有的段实体.文件的结束处事一些其它的区域,其中是一些混杂的信息,包括重分配信息、符号表信息、行号表信息以及字符串数据.如图:
(1)MS-DOS头部、实模式头部
如上所述,PE文件格式的第一个组成部分是MS-DOS头部.保留这个相同的结构的最主要原因是:当在WINDOWS3.1一下或MS-DOS2.0以上的系统下装在一个文件的时候,操作系统能够读取这个文件并明白是和当前系统不相兼容的.
它的第一域e_magic,被称为魔术数字,它被用于表示一个MS-DOS兼容的文件类型.所有MS-DOS兼容的可执行文件都将这个值设为0x5A4D,表示ASCII字符MZ.MS-DOS头部之所以有的时候被称为MZ头部,就是这个缘故.还有许多其它的域对于MS-DOS操作系统来说都有用,但是对于WINDOWS NT来说,PE结构中只有一个有用的域—最后一个域e_lfnew,一个4字节的文件偏移量,PE文件头部就是由它定位的.对于WINDOWS NT的PE文件来说,PE文件头部是紧跟在MS-DOS头部和实模式程序残余之后的.
(2)实模式残余程序
实模式残余程序是一个