亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        PE病毒的入侵途徑和防治措施

        2012-04-29 05:24:10李卓
        商場現(xiàn)代化 2012年12期
        關(guān)鍵詞:防治措施

        李卓

        [摘 要]由于Windows操作系統(tǒng)的廣泛使用,PE病毒已經(jīng)成為當(dāng)前危害計算機安全的主要病毒之一。針對傳播最廣泛、危害最大、使用了多態(tài)變化技術(shù)的windows PE文件病毒的PE病毒,本論文詳細(xì)的分析了windows PE文件結(jié)構(gòu)及PE病毒的入侵原理,針對windows PE病毒的特點,提出了windows PE文件病毒的防御思想,即在病毒傳播時期就把其拒之于系統(tǒng)之外,使其失去寄宿生存的空間,再配合一般的殺毒技術(shù),可以有效的防殺windows PE病毒,使系統(tǒng)的安全性和穩(wěn)定性大大提高,最后有針對性地提出對PE病毒預(yù)防的多種有效策略,從而為防毒、殺毒提供必要的理論依據(jù)。

        [關(guān)鍵詞]PE病毒 入侵途徑 防治措施

        計算機病毒一直是計算機用戶和安全專家的心腹大患,雖然計算機反病毒技術(shù)不斷更新和發(fā)展,但是仍然不能改變被動滯后的局面。計算機病毒一般都具有潛伏傳染激發(fā)破壞等多種機制,但其傳染機制反映了病毒程序最本質(zhì)的特征,離開傳染機制,就不能稱其為病毒。因此,監(jiān)控和及時發(fā)現(xiàn)計算機病毒的傳染行為,是病毒制造者和安全專家的爭奪焦點。目前主流的操作系統(tǒng)是Windows操作系統(tǒng),利用windows操作系統(tǒng)中存在的漏洞和系統(tǒng)程序接口,病毒可輕易獲取控制權(quán),感染硬盤上的文件,并進(jìn)行破壞。因此計算機病毒入侵途徑和防治研究顯得尤為重要。

        病毒要在Windows操作系統(tǒng)上實現(xiàn)其感染目的是要獲得系統(tǒng)的控制權(quán),而感染可執(zhí)行文件時取得控制權(quán)的最好途徑。在WINDOWS NT/XP/2000/98/95等系統(tǒng)下,可執(zhí)行文件和動態(tài)鏈接庫均采用的是PE文件格式。只有透徹研究了PE的文件格式,才能了解病毒如何寄生在文件中,才能有的放矢的采取對策以檢測和制止病毒的入侵。在各種病毒中,又以PE病毒數(shù)目最大,傳播最廣,破壞力最強,分析PE病毒有非常重要的意義。因此本文將重點介紹PE病毒的入侵途徑和防治措施。

        一、PE病毒

        1.PE病毒的定義

        一個正常的程序感染后,當(dāng)你啟動這個程序的時候,它通常會先執(zhí)行一段病毒代碼,然后自身運行,這樣病毒就悄無聲息的運行起來,然后再去感染其他PE文件,這就是PE病毒的行為。

        2.PE病毒的特征

        (1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部,修改原程序的入口點以指向病毒體,病毒本身沒有什么危害,但是被感染的文件可能被破壞而不能正常運行。

        (2)潛伏性。指病毒依附于其他文件而存在,即通過修改其他程序而把自身的復(fù)制品嵌入到其他程序中。

        (3)可觸發(fā)性。即在一定的條件下激活這類病毒的感染機制使之進(jìn)行感染。

        (4)破壞性。病毒一旦感染其他文件,病毒本身沒什么危害,但是會導(dǎo)致被感染的文件丟失數(shù)據(jù)或被破壞而不能正常運行。

        3.PE文件格式

        在PE文件格式中有一個重要的概念相對偏移量(RAV),RAV是虛擬空間中某句代碼到參考點的一段距離。例如,如果PE文件裝入虛擬地址(VA)空間的400000h處,且進(jìn)程從虛擬401000h開始執(zhí)行,就可以說進(jìn)程執(zhí)行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負(fù)擔(dān),因為每個模塊都有可能被重載到任何虛擬地址空間。

        PE文件格式被組織為一個線性的數(shù)據(jù)流,他由一個MS-DOS頭部開始,接著是實模擬程序殘余以及一個PE文件標(biāo)識,之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部,斷頭不之后跟隨者所有的段實體。文件的結(jié)束處事一些其它的區(qū)域,其中是一些混雜的信息,包括重分配信息、符號表信息、行號表信息以及字符串?dāng)?shù)據(jù)。如圖:

        (1)MS-DOS頭部、實模式頭部

        如上所述,PE文件格式的第一個組成部分是MS-DOS頭部。保留這個相同的結(jié)構(gòu)的最主要原因是:當(dāng)在WINDOWS3.1一下或MS-DOS2.0以上的系統(tǒng)下裝在一個文件的時候,操作系統(tǒng)能夠讀取這個文件并明白是和當(dāng)前系統(tǒng)不相兼容的。

        它的第一域e_magic,被稱為魔術(shù)數(shù)字,它被用于表示一個MS-DOS兼容的文件類型。所有MS-DOS兼容的可執(zhí)行文件都將這個值設(shè)為0x5A4D,表示ASCII字符MZ。MS-DOS頭部之所以有的時候被稱為MZ頭部,就是這個緣故。還有許多其它的域?qū)τ贛S-DOS操作系統(tǒng)來說都有用,但是對于WINDOWS NT來說,PE結(jié)構(gòu)中只有一個有用的域—最后一個域e_lfnew,一個4字節(jié)的文件偏移量,PE文件頭部就是由它定位的。對于WINDOWS NT的PE文件來說,PE文件頭部是緊跟在MS-DOS頭部和實模式程序殘余之后的。

        (2)實模式殘余程序

        實模式殘余程序是一個轉(zhuǎn)載時能夠被MS-DOS運行的實際程序。對于一個MS-DOS的可執(zhí)行映像文件,應(yīng)用程序就是從這里執(zhí)行的。對于WINDOWS、OS/2、WINDOWS NT這些操作系統(tǒng)來說,MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做,而只是輸出一行文本,例如:“This program requires Microsoft Windows v3.1 or greater.”

        當(dāng)為WINDOWS 3.1構(gòu)建一個應(yīng)用程序的時候,鏈接器將向你的可執(zhí)行文件中鏈接一個名為WINSTUB.EXE的默認(rèn)殘余程序。你可以用于一個基于MS-DOS的有效程序取代WINSTUB,并且用STUB模塊定義語句指示器,這樣就能夠取代鏈接器的默認(rèn)行為。為WINDOWS NT開發(fā)的應(yīng)用程序可以通過使用-STUB:連接器選項來實現(xiàn)。

        (3)PE頭部

        該頭部的結(jié)構(gòu)如下:

        {

        DWORO Signature;

        IMAGE_FILE_HEADER FileHeader;

        IMAGE_OPTIONAL_HEADER OptionalHeader;

        }IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

        它包括三個域:第一個域是固定的格式“PE

        亚洲网站地址一地址二| 伊人久久大香线蕉午夜av| 国产精品永久免费| 日韩精品一区二区三区在线观看| 中文一区二区三区无码视频| av免费一区二区久久 | 99精品国产在热久久无码| 无套内谢孕妇毛片免费看看| 日日躁欧美老妇| 精华国产一区二区三区| 少妇熟女天堂网av| 中文字幕av日韩精品一区二区| 国产av大片在线观看| 男人天堂亚洲天堂av| 国产又色又爽又黄刺激在线视频| 国产精品无码精品久久久| 一区二区久久精品66国产精品| 日韩少妇人妻中文视频| 少妇人妻陈艳和黑人教练| 色999欧美日韩| 亚洲国产av精品一区二| 免费观看mv大片高清| 熟妇人妻av无码一区二区三区| 色婷婷色99国产综合精品| 少妇下面好紧好多水真爽| 久久久久久久综合综合狠狠| 久久精品亚洲牛牛影视| 国产精品国产三级在线专区| 日本在线视频www色| 中文字幕久无码免费久久| 国产成人久久精品激情91| 高潮精品熟妇一区二区三区| 99久久超碰中文字幕伊人| 成人爽a毛片一区二区免费| 亚洲一区二区日韩在线| 天堂在线资源中文在线8| 蜜桃精品免费久久久久影院 | 亚洲免费成年女性毛视频| 亚洲av午夜一区二区三| 国产成人av性色在线影院色戒| 欧美日韩激情在线一区二区|