徐耀洪 陳 智 寧康琪

[摘 要]隨著計(jì)算機(jī)技術(shù)發(fā)展,它給人們的生活工作帶來(lái)了巨大的便利,但是由于計(jì)算機(jī)病毒的出現(xiàn),使得在享受計(jì)算機(jī)的好處的同時(shí),又面對(duì)著病毒攻擊的困擾。本文介紹了基于PE文件格式的Windows病毒關(guān)鍵技術(shù),并著重介紹了反病毒的一些相關(guān)技術(shù)。

[關(guān)鍵詞]PE文件格式 病毒與反病毒關(guān)鍵技術(shù)

[中圖分類號(hào)]TP391[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1007-9416(2009)12-0106-03

Analysis of Key Technique in Windows PE counter-Viruses

Xu YaohongChen ZhiNing Kangqi

Dep. of Information Engineer, Shaoyang University, Hunan,422000, Shaoyang China

[Abstract]With the development of computer technology, it makes our life more convenience. But as a result of computer virus' appearance, we must face the viral attack. This paper analysized the Key Technique in Windows PE counter-Viruses and the counter-virus's technology.

[Key words] PE document format; Viral and counter-viral key technologies

1 引言

計(jì)算機(jī)病毒一直是計(jì)算機(jī)用戶和安全專家的心腹大患,雖然計(jì)算機(jī)反病毒技術(shù)不斷更新和發(fā)展,但是仍然不能改變被動(dòng)滯后的局面。由于當(dāng)前計(jì)算機(jī)的操作平臺(tái)大多數(shù)是Windows xp/NT以上的,大多數(shù)計(jì)算機(jī)病毒都是以此為基礎(chǔ)來(lái)編寫的,故分析基于PE文件格式的Windows病毒關(guān)鍵技術(shù)分析具有非常重要的意義。

2 PE文件格式簡(jiǎn)析

PE文件是微軟設(shè)計(jì)在所有Win32操作系統(tǒng)下的可執(zhí)行文件格式。對(duì)于PE文件頭,和其他微軟可執(zhí)行文件格式一樣,PE表頭并非在文件的最開(kāi)始處。所有PE文件必須以一個(gè)簡(jiǎn)單的DOS MZ頭文件開(kāi)始,緊接著DOS MZ頭是所謂的DOS stub,它是一個(gè)極小DOS程序,用來(lái)輸出像“該程序不能在DOS模式下運(yùn)行”這樣的信息這也就是為什么在純DOS方式下運(yùn)行PE格式文件的第一字節(jié)對(duì)應(yīng)到DOS stub 的第一的字節(jié)。緊接著DOS stub 的是PE頭。PE頭是PE相關(guān)結(jié)構(gòu)IMAGE-NT-HEADERS的簡(jiǎn)稱,其中包含了許多PE裝載器用到的重要域。PE頭中包含了PE的標(biāo)志,此標(biāo)志為DWORD類型,其值為“PE

大厂| 宁陕县| 普兰县| 巴彦淖尔市| 长葛市| 卢氏县| 南靖县| 宁河县| 海南省| 安庆市| 庄浪县| 慈利县| 高尔夫| 仪陇县| 怀远县| 巴塘县| 逊克县| 丽水市| 泰兴市| 巴南区| 博罗县| 北碚区| 绵阳市| 井研县| 廉江市| 巧家县| 普兰县| 江孜县| 成都市| 屏山县| 临湘市| 唐河县| 锡林郭勒盟| 长子县| 大渡口区| 正蓝旗| 宜州市| 唐海县| 九台市| 绥化市| 葫芦岛市|