PE病毒的入侵途徑和防治措施

2012-04-29 05:24:10李卓

商場現代化 2012年12期

李卓

[摘要]由于Windows操作系統的廣泛使用，PE病毒已經成為當前危害計算機安全的主要病毒之一。針對傳播最廣泛、危害最大、使用了多態變化技術的windows PE文件病毒的PE病毒，本論文詳細的分析了windows PE文件結構及PE病毒的入侵原理，針對windows PE病毒的特點，提出了windows PE文件病毒的防御思想，即在病毒傳播時期就把其拒之于系統之外,使其失去寄宿生存的空間,再配合一般的殺毒技術,可以有效的防殺windows PE病毒,使系統的安全性和穩定性大大提高，最后有針對性地提出對PE病毒預防的多種有效策略，從而為防毒、殺毒提供必要的理論依據。

[關鍵詞]PE病毒入侵途徑防治措施

計算機病毒一直是計算機用戶和安全專家的心腹大患,雖然計算機反病毒技術不斷更新和發展,但是仍然不能改變被動滯后的局面。計算機病毒一般都具有潛伏傳染激發破壞等多種機制，但其傳染機制反映了病毒程序最本質的特征，離開傳染機制，就不能稱其為病毒。因此，監控和及時發現計算機病毒的傳染行為，是病毒制造者和安全專家的爭奪焦點。目前主流的操作系統是Windows操作系統，利用windows操作系統中存在的漏洞和系統程序接口，病毒可輕易獲取控制權，感染硬盤上的文件，并進行破壞。因此計算機病毒入侵途徑和防治研究顯得尤為重要。

病毒要在Windows操作系統上實現其感染目的是要獲得系統的控制權，而感染可執行文件時取得控制權的最好途徑。在WINDOWS NT/XP/2000/98/95等系統下，可執行文件和動態鏈接庫均采用的是PE文件格式。只有透徹研究了PE的文件格式，才能了解病毒如何寄生在文件中，才能有的放矢的采取對策以檢測和制止病毒的入侵。在各種病毒中，又以PE病毒數目最大，傳播最廣，破壞力最強，分析PE病毒有非常重要的意義。因此本文將重點介紹PE病毒的入侵途徑和防治措施。

一、PE病毒

1.PE病毒的定義

一個正常的程序感染后，當你啟動這個程序的時候，它通常會先執行一段病毒代碼，然后自身運行，這樣病毒就悄無聲息的運行起來，然后再去感染其他PE文件，這就是PE病毒的行為。

2.PE病毒的特征

(1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部，修改原程序的入口點以指向病毒體，病毒本身沒有什么危害，但是被感染的文件可能被破壞而不能正常運行。

(2)潛伏性。指病毒依附于其他文件而存在，即通過修改其他程序而把自身的復制品嵌入到其他程序中。

(3）可觸發性。即在一定的條件下激活這類病毒的感染機制使之進行感染。

(4)破壞性。病毒一旦感染其他文件，病毒本身沒什么危害，但是會導致被感染的文件丟失數據或被破壞而不能正常運行。

3.PE文件格式

在PE文件格式中有一個重要的概念相對偏移量（RAV），RAV是虛擬空間中某句代碼到參考點的一段距離。例如，如果PE文件裝入虛擬地址（VA）空間的400000h處，且進程從虛擬401000h開始執行，就可以說進程執行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負擔，因為每個模塊都有可能被重載到任何虛擬地址空間。

PE文件格式被組織為一個線性的數據流，他由一個MS-DOS頭部開始，接著是實模擬程序殘余以及一個PE文件標識，之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部，斷頭不之后跟隨者所有的段實體。文件的結束處事一些其它的區域，其中是一些混雜的信息，包括重分配信息、符號表信息、行號表信息以及字符串數據。如圖：

(1)MS-DOS頭部、實模式頭部

如上所述，PE文件格式的第一個組成部分是MS-DOS頭部。保留這個相同的結構的最主要原因是：當在WINDOWS3.1一下或MS-DOS2.0以上的系統下裝在一個文件的時候，操作系統能夠讀取這個文件并明白是和當前系統不相兼容的。

它的第一域e_magic,被稱為魔術數字，它被用于表示一個MS-DOS兼容的文件類型。所有MS-DOS兼容的可執行文件都將這個值設為0x5A4D，表示ASCII字符MZ。MS-DOS頭部之所以有的時候被稱為MZ頭部，就是這個緣故。還有許多其它的域對于MS-DOS操作系統來說都有用，但是對于WINDOWS NT來說，PE結構中只有一個有用的域—最后一個域e_lfnew，一個4字節的文件偏移量，PE文件頭部就是由它定位的。對于WINDOWS NT的PE文件來說，PE文件頭部是緊跟在MS-DOS頭部和實模式程序殘余之后的。

(2)實模式殘余程序

實模式殘余程序是一個轉載時能夠被MS-DOS運行的實際程序。對于一個MS-DOS的可執行映像文件，應用程序就是從這里執行的。對于WINDOWS、OS/2、WINDOWS NT這些操作系統來說，MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做，而只是輸出一行文本，例如：“This program requires Microsoft Windows v3.1 or greater.”

當為WINDOWS 3.1構建一個應用程序的時候，鏈接器將向你的可執行文件中鏈接一個名為WINSTUB.EXE的默認殘余程序。你可以用于一個基于MS-DOS的有效程序取代WINSTUB，并且用STUB模塊定義語句指示器，這樣就能夠取代鏈接器的默認行為。為WINDOWS NT開發的應用程序可以通過使用-STUB：連接器選項來實現。

(3)PE頭部

該頭部的結構如下：

{

DWORO Signature;

IMAGE_FILE_HEADER FileHeader;

IMAGE_OPTIONAL_HEADER OptionalHeader;

}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

它包括三個域：第一個域是固定的格式“PE