李卓

[摘 要]由于Windows操作系統(tǒng)的廣泛使用，PE病毒已經(jīng)成為當(dāng)前危害計算機安全的主要病毒之一。針對傳播最廣泛、危害最大、使用了多態(tài)變化技術(shù)的windows PE文件病毒的PE病毒，本論文詳細(xì)的分析了windows PE文件結(jié)構(gòu)及PE病毒的入侵原理，針對windows PE病毒的特點，提出了windows PE文件病毒的防御思想，即在病毒傳播時期就把其拒之于系統(tǒng)之外,使其失去寄宿生存的空間,再配合一般的殺毒技術(shù),可以有效的防殺windows PE病毒,使系統(tǒng)的安全性和穩(wěn)定性大大提高，最后有針對性地提出對PE病毒預(yù)防的多種有效策略，從而為防毒、殺毒提供必要的理論依據(jù)。

[關(guān)鍵詞]PE病毒 入侵途徑 防治措施

計算機病毒一直是計算機用戶和安全專家的心腹大患,雖然計算機反病毒技術(shù)不斷更新和發(fā)展,但是仍然不能改變被動滯后的局面。計算機病毒一般都具有潛伏傳染激發(fā)破壞等多種機制，但其傳染機制反映了病毒程序最本質(zhì)的特征，離開傳染機制，就不能稱其為病毒。因此，監(jiān)控和及時發(fā)現(xiàn)計算機病毒的傳染行為，是病毒制造者和安全專家的爭奪焦點。目前主流的操作系統(tǒng)是Windows操作系統(tǒng)，利用windows操作系統(tǒng)中存在的漏洞和系統(tǒng)程序接口，病毒可輕易獲取控制權(quán)，感染硬盤上的文件，并進(jìn)行破壞。因此計算機病毒入侵途徑和防治研究顯得尤為重要。

病毒要在Windows操作系統(tǒng)上實現(xiàn)其感染目的是要獲得系統(tǒng)的控制權(quán)，而感染可執(zhí)行文件時取得控制權(quán)的最好途徑。在WINDOWS NT/XP/2000/98/95等系統(tǒng)下，可執(zhí)行文件和動態(tài)鏈接庫均采用的是PE文件格式。只有透徹研究了PE的文件格式，才能了解病毒如何寄生在文件中，才能有的放矢的采取對策以檢測和制止病毒的入侵。在各種病毒中，又以PE病毒數(shù)目最大，傳播最廣，破壞力最強，分析PE病毒有非常重要的意義。因此本文將重點介紹PE病毒的入侵途徑和防治措施。

一、PE病毒

1.PE病毒的定義

一個正常的程序感染后，當(dāng)你啟動這個程序的時候，它通常會先執(zhí)行一段病毒代碼，然后自身運行，這樣病毒就悄無聲息的運行起來，然后再去感染其他PE文件，這就是PE病毒的行為。

2.PE病毒的特征

(1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部，修改原程序的入口點以指向病毒體，病毒本身沒有什么危害，但是被感染的文件可能被破壞而不能正常運行。

(2)潛伏性。指病毒依附于其他文件而存在，即通過修改其他程序而把自身的復(fù)制品嵌入到其他程序中。

(3）可觸發(fā)性。即在一定的條件下激活這類病毒的感染機制使之進(jìn)行感染。

(4)破壞性。病毒一旦感染其他文件，病毒本身沒什么危害，但是會導(dǎo)致被感染的文件丟失數(shù)據(jù)或被破壞而不能正常運行。

3.PE文件格式

在PE文件格式中有一個重要的概念相對偏移量（RAV），RAV是虛擬空間中某句代碼到參考點的一段距離。例如，如果PE文件裝入虛擬地址（VA）空間的400000h處，且進(jìn)程從虛擬401000h開始執(zhí)行，就可以說進(jìn)程執(zhí)行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負(fù)擔(dān)，因為每個模塊都有可能被重載到任何虛擬地址空間。

PE文件格式被組織為一個線性的數(shù)據(jù)流，他由一個MS-DOS頭部開始，接著是實模擬程序殘余以及一個PE文件標(biāo)識，之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部，斷頭不之后跟隨者所有的段實體。文件的結(jié)束處事一些其它的區(qū)域，其中是一些混雜的信息，包括重分配信息、符號表信息、行號表信息以及字符串?dāng)?shù)據(jù)。如圖：

(1)MS-DOS頭部、實模式頭部

如上所述，PE文件格式的第一個組成部分是MS-DOS頭部。保留這個相同的結(jié)構(gòu)的最主要原因是：當(dāng)在WINDOWS3.1一下或MS-DOS2.0以上的系統(tǒng)下裝在一個文件的時候，操作系統(tǒng)能夠讀取這個文件并明白是和當(dāng)前系統(tǒng)不相兼容的。

它的第一域e_magic,被稱為魔術(shù)數(shù)字，它被用于表示一個MS-DOS兼容的文件類型。所有MS-DOS兼容的可執(zhí)行文件都將這個值設(shè)為0x5A4D，表示ASCII字符MZ。MS-DOS頭部之所以有的時候被稱為MZ頭部，就是這個緣故。還有許多其它的域?qū)τ贛S-DOS操作系統(tǒng)來說都有用，但是對于WINDOWS NT來說，PE結(jié)構(gòu)中只有一個有用的域—最后一個域e_lfnew，一個4字節(jié)的文件偏移量，PE文件頭部就是由它定位的。對于WINDOWS NT的PE文件來說，PE文件頭部是緊跟在MS-DOS頭部和實模式程序殘余之后的。

(2)實模式殘余程序

實模式殘余程序是一個轉(zhuǎn)載時能夠被MS-DOS運行的實際程序。對于一個MS-DOS的可執(zhí)行映像文件，應(yīng)用程序就是從這里執(zhí)行的。對于WINDOWS、OS/2、WINDOWS NT這些操作系統(tǒng)來說，MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做，而只是輸出一行文本，例如：“This program requires Microsoft Windows v3.1 or greater.”

當(dāng)為WINDOWS 3.1構(gòu)建一個應(yīng)用程序的時候，鏈接器將向你的可執(zhí)行文件中鏈接一個名為WINSTUB.EXE的默認(rèn)殘余程序。你可以用于一個基于MS-DOS的有效程序取代WINSTUB，并且用STUB模塊定義語句指示器，這樣就能夠取代鏈接器的默認(rèn)行為。為WINDOWS NT開發(fā)的應(yīng)用程序可以通過使用-STUB：連接器選項來實現(xiàn)。

(3)PE頭部

該頭部的結(jié)構(gòu)如下：

{

DWORO Signature;

IMAGE_FILE_HEADER FileHeader;

IMAGE_OPTIONAL_HEADER OptionalHeader;

}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

它包括三個域：第一個域是固定的格式“PE