详解什么是windows下的pe病毒
PE的意思是可移植的执行体,即portable executable,是windows下的一个32位的文件格式,保留了MZ文件头以便于运行于DOS,在windows中广泛存在PE这种格式,除了.dll和VxD格式不属于这个格式,是病毒喜欢感染的类型windows下的pe病毒是指所有感染Windows下PE文件格式文件的病毒,可以在安全模式下删除,危害和一般病毒是一样的,就是普通病毒,只不过病毒通过修改可执行文件的代码中程序入口地址,变成病毒的程序入口,导致运行的时候执行病毒文件,这是比较常用的方式,删除就没事了
PE病毒大多数采用Win32汇编编写.
PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.
只有在PE病毒中,我们才能真正感受到高超的病毒技术.
编写Win32病毒的几个关键
Api函数的获取
不能直接引用动态链接库
需要自己寻找api函数的地址,然后直接调用该地址
一点背景:
在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.
病毒没有.data段,变量和数据全部放在.code段
页:
[1]