病毒与计算机安全
网络型病毒与计算机网络安全
网络型病毒与计算机网络安全在当今数字化的时代,计算机网络已经成为我们生活和工作中不可或缺的一部分。
然而,伴随着网络的广泛应用,网络型病毒也如影随形,给计算机网络安全带来了严峻的挑战。
网络型病毒,顾名思义,是通过网络传播的病毒程序。
与传统的单机病毒相比,它们具有更强的传播能力和破坏性。
网络型病毒可以借助电子邮件、即时通讯工具、网站漏洞等多种途径迅速蔓延,在短时间内感染大量的计算机系统。
这些病毒的来源多种多样。
有些是由黑客出于恶意目的编写和传播,试图窃取用户的个人信息、破坏关键基础设施或者谋取非法利益;有些则是由于软件开发者的疏忽,导致程序存在漏洞,被不法分子利用来植入病毒;还有一些可能是内部人员故意为之,以达到某种不可告人的目的。
网络型病毒的危害不容小觑。
一旦计算机系统被感染,可能会导致文件丢失、系统崩溃、数据泄露等严重后果。
对于个人用户来说,个人隐私信息如银行账号、密码、身份证号码等可能会被窃取,造成财产损失和个人信用风险。
对于企业和组织而言,网络型病毒可能会破坏重要的业务数据,影响生产经营活动,甚至导致商业机密泄露,给企业带来巨大的经济损失和声誉损害。
此外,一些针对关键基础设施如电力、交通、金融等领域的网络型病毒攻击,还可能威胁到国家安全和社会稳定。
为了应对网络型病毒的威胁,保障计算机网络安全,我们需要采取一系列的防范措施。
首先,用户需要增强自身的安全意识。
这包括不随意点击来路不明的链接和附件,不轻易下载未知来源的软件,定期更新操作系统和应用软件,设置强密码并定期更换等。
同时,要保持警惕,及时发现和处理异常情况,如计算机运行速度突然变慢、出现不明弹窗等。
其次,安装可靠的杀毒软件和防火墙是必不可少的。
杀毒软件能够实时监测和清除病毒,防火墙则可以阻止未经授权的网络访问,有效防范外部攻击。
用户应定期对杀毒软件和防火墙进行更新,以确保其能够识别和应对最新的病毒威胁。
此外,企业和组织需要建立完善的网络安全管理制度。
计算机安全与计算机病毒的预防
计算机安全与计算机病毒的预防在当今数字化的时代,计算机已经成为我们生活和工作中不可或缺的一部分。
从日常的娱乐、通讯,到重要的商务活动、金融交易,计算机都扮演着至关重要的角色。
然而,随着计算机技术的飞速发展,计算机安全问题也日益凸显,其中计算机病毒的威胁尤为严重。
计算机病毒不仅可能导致个人数据的丢失、泄露,还可能给企业和国家带来巨大的经济损失和安全隐患。
因此,了解计算机安全知识,掌握计算机病毒的预防措施,对于保护我们的计算机系统和数据至关重要。
计算机安全是指保护计算机系统和数据免受未经授权的访问、使用、篡改、破坏或泄露。
它涵盖了多个方面,包括硬件安全、软件安全、网络安全、数据安全等。
硬件安全主要涉及计算机设备的物理保护,防止被盗、损坏或未经授权的访问。
软件安全则包括操作系统、应用程序的安全性,确保其没有漏洞和恶意代码。
网络安全侧重于保护计算机在网络环境中的通信和数据传输安全,防止黑客攻击、网络监听等。
数据安全则是确保数据的机密性、完整性和可用性,通过加密、备份等手段保护数据不被窃取或损坏。
计算机病毒是一种能够自我复制、传播,并对计算机系统造成损害的程序或代码。
它通常隐藏在正常的文件、程序或邮件中,当用户运行或打开这些文件时,病毒就会被激活并开始感染计算机。
计算机病毒的种类繁多,常见的有文件型病毒、引导型病毒、宏病毒、网络病毒等。
文件型病毒主要感染可执行文件,如exe、com 等;引导型病毒则感染计算机的启动扇区,导致系统无法正常启动;宏病毒主要寄生在 Office 文档中的宏代码中;网络病毒则通过网络传播,速度快、范围广,危害极大。
计算机病毒的传播途径主要有以下几种:1、网络传播:通过互联网、局域网等网络进行传播,如下载非法软件、访问恶意网站、接收带病毒的邮件等。
2、移动存储设备传播:如 U 盘、移动硬盘、光盘等,当这些设备在不同计算机之间使用时,如果其中一台计算机感染了病毒,就很容易传播到其他计算机上。
浅谈计算机网络安全与病毒防治
浅谈计算机网络安全与病毒防治在当今数字化的时代,计算机网络已经成为人们生活和工作中不可或缺的一部分。
我们通过网络进行沟通交流、获取信息、开展业务,但与此同时,网络安全问题也日益凸显,其中病毒的威胁更是不容忽视。
计算机网络安全是指保护网络系统中的硬件、软件以及数据不因偶然或者恶意的原因而遭到破坏、更改、泄露,保障系统连续可靠正常地运行,网络服务不中断。
而计算机病毒则是一种能够自我复制、传播,并对计算机系统造成损害的程序代码。
它们可以通过网络、存储设备等途径传播,一旦感染,可能会导致系统崩溃、数据丢失、个人隐私泄露等严重后果。
那么,计算机网络面临的安全威胁都有哪些呢?首先是黑客攻击。
黑客们利用各种技术手段,试图突破网络的防护,获取敏感信息或者控制目标系统。
其次是网络诈骗,不法分子通过网络钓鱼等手段,诱骗用户提供个人信息或者进行金融交易,从而达到非法牟利的目的。
再者,恶意软件的泛滥也是一大威胁,除了病毒,还有木马、蠕虫、间谍软件等,它们会在用户不知情的情况下窃取信息、篡改系统设置。
病毒的传播方式多种多样。
常见的有通过网络下载,用户在下载软件、文件时,如果来源不可靠,很容易下载到携带病毒的文件。
电子邮件也是病毒传播的重要途径,一些病毒会伪装成正常的邮件附件,一旦用户打开,就会感染病毒。
另外,移动存储设备如 U 盘、移动硬盘等,如果在不同的计算机之间频繁使用,且其中一台计算机感染了病毒,就很容易传播到其他计算机上。
为了保障计算机网络安全,防止病毒的侵害,我们需要采取一系列的措施。
首先,用户自身要增强安全意识。
不随意点击来路不明的链接,不轻易下载未知来源的文件。
对于重要的个人信息,要注意保护,避免在不可信的网站上输入。
其次,要保持操作系统和应用软件的及时更新。
软件开发者会不断修复已知的漏洞,更新软件可以有效降低被攻击的风险。
安装可靠的杀毒软件和防火墙也是必不可少的。
杀毒软件能够实时监测和清除病毒,防火墙则可以阻止未经授权的网络访问。
病毒与计算机安全
病毒与计算机安全在当今数字化的时代,计算机已经成为我们生活和工作中不可或缺的一部分。
然而,伴随着计算机技术的飞速发展,病毒也如影随形,给计算机安全带来了巨大的威胁。
什么是计算机病毒呢?简单来说,它是一种能够自我复制、传播,并对计算机系统造成损害的程序或代码。
计算机病毒就像是隐藏在数字世界里的“捣蛋鬼”,它们可能会悄悄潜入我们的电脑,篡改文件、窃取信息、破坏系统,甚至导致整个计算机瘫痪。
病毒的来源多种多样。
有些是由不法分子故意编写制造,以达到非法获利、窃取机密或者恶意破坏的目的;还有一些则是由于软件开发者的疏忽,在程序中留下了漏洞,被黑客利用进而生成了病毒。
另外,从网络上下载不明来源的软件、打开可疑的邮件附件、访问不安全的网站等行为,都有可能让病毒有机可乘,进入我们的计算机系统。
一旦计算机感染了病毒,后果可能会非常严重。
首先,病毒可能会删除或篡改我们重要的文件和数据,比如工作文档、照片、视频等。
这对于个人来说,可能意味着珍贵回忆的丢失,对于企业而言,则可能导致业务中断、经济损失甚至法律纠纷。
其次,病毒还可能窃取我们的个人信息,如银行账号、密码、身份证号码等,从而造成财产损失和隐私泄露。
此外,一些病毒会占用大量的系统资源,导致计算机运行速度变慢、死机甚至无法正常启动。
为了保障计算机的安全,我们需要采取一系列的防范措施。
首先,要安装可靠的杀毒软件和防火墙,并定期更新病毒库。
杀毒软件就像是计算机的“保镖”,能够实时监测和清除病毒;防火墙则像是一道“屏障”,可以阻止未经授权的访问和网络攻击。
其次,要养成良好的上网习惯,不随意点击来路不明的链接,不下载可疑的文件和软件,谨慎打开邮件附件。
同时,定期备份重要的数据也是非常重要的,这样即使计算机不幸感染病毒,我们也能够通过备份恢复数据,减少损失。
另外,及时更新操作系统和应用软件也是必不可少的,因为软件开发商会不断修复漏洞,提高系统的安全性。
除了个人用户,企业和组织在计算机安全方面面临着更大的挑战。
计算机病毒与防治(共34张PPT)
• 杀掉不必要的进程
– 开始运行: ntsd –c q –p xxxx
• 其中xxxx为进程号(PID), • 可通过Ctrl+Alt+Del任务管理器进程 来查看PID
口令安全(密码)
– 口令
• 原则:自己易记、他人难猜、经常更改 • 技巧:不与自己直接相关,而是间接相关
编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒的编制者往往有特殊的破坏目的,因此不同的病毒攻击的对象也会不同
特别注意相似硬网址件,如防1cbc火, myq墙q等产品:锐捷、华为、中兴、思科、
你的计算机上正运行着什么程序?它们都是安全的吗?
目录•(右击不) 共要享 将权限密码设置为有顺序的数字或字母
无害型、无危险型、危险型、非常危险型
不原要理•使 :用包不本过人滤要的和生代将日理、服网身务证上件银号码行、银“行账登户中录的密前几码位、”后几和位或“姓交名的易拼音密作为码密码”。设置成相同的密码 D瑞O星S•注、册W在表ind修o任复ws工、何具Un情ihxt、tp况L:/i/un下x等 不能将密码透漏给他人,包括银行工作人员
隐藏性:
计算机病毒通常是隐蔽在其他合法的可执行程序和数据文件中的 一段程序,不易被人们察觉,对病毒的传染扩散十分有利。
计算机病毒的特点(续)
潜伏性:
在破坏之前属于潜伏状态,潜伏期越长,其传染范 围也会越大。
可触发性:
在一定的条件下(如特定的日期)才会发作,开始破 坏活动。
针对性:
病毒的编制者往往有特殊的破坏目的,因此不同的病 毒攻击的对象也会不同
计算机病毒与安全防治选择题
A. 邮件病毒 B. 邮件炸弹 C. 木马 D.蠕虫
4. 计算机感染病毒后,会出现B
A.计算机电源损坏 B.系统瘫痪或文件丢失 C.显示器屏幕破裂 D.使用者受感染
5. 通常情况下,下面现象中_____不是病毒破坏造成的D
A.显示器显示不正常 B.磁盘不正常读写 C.常常显示内存不足 D.突然停电
计算机病毒与安全防治选择题
知识点1:
病毒的概念:人为编制的或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
病毒的特征:
破坏性:计算机病毒发作时对系统进行不同程序的干扰和破坏。有的仅干扰软件的运行而不破坏软件;有的占用系统资源,使系统无法正常运行;有的修改、删除文件和数据;有的毁坏整个系统,使系统瘫痪;有的破坏计算机硬件。
A.传染性 B.寄生性 C.潜伏性 D.隐蔽性
9. 一种病毒的出现,使得人们对计算机病毒只破坏计算机软件的认识发生了改变,这种计算机病毒是 D
A.冲击波 B. 木马病毒 C. backdoor D. CIH
10. 电子邮件的发件人利用某些特殊的电子邮件软件,在短时间内不断重复地将电子邮件发送给同一个接收者,这种破坏方式叫做B
传染性:是计算机病毒具有自身复制到其他程序中的特性。计算机病毒一旦侵入系统后,就开始寻找可以感染的程序,并进行感染复制。
潜伏性:病毒侵入系统后,一般不立即发作,可能会长时间潜伏在计算机中。只有当满足一定的触发条件时才发作。
可触发性:计算机病毒一般是控制条件的,当外界条件满足计算机病毒发作要求时,计算机病毒程序中攻击机能发作,可达到预定的破坏目的,例如破坏计算机硬件的CIH病毒在每年的4月26日发作。
《计算机病毒与安全》教学设计
《计算机病毒与安全》教学设计各位读友大家好,此文档由网络收集而来,欢迎您下载,谢谢山东威海工业技术学校肖丽荣课题计算机病毒与安全科目计算机应用基础教学目标知识目标1.了解什么是计算机病毒及病毒的特点。
2.初步掌握计算机病毒的基本防治方法。
3.掌握初步电脑安全维护知识。
4.提高安全防范的意识。
技能目标能够进行日常安全维护,成为一名合格的“安全卫士”。
德育目标使学生们懂得“做一个有责任感的人”的重要性。
教材分析重点1.计算机病毒的定义、特点。
2.计算机病毒的防治。
难点计算机安全防范措施教学方法教法情境演示法、讲授法、启发教学法学法讨论法、实践操作法教学设备计算机、投影仪教学资料《计算机应用基础》《计算机安全教程》《计算机病毒技术》互动设计提问:俗话说:“常在河边走,不怕不湿鞋”,你在使用电脑的过程中,都遇到过哪些问题?(课前回顾过程中进行)思考与讨论:什么是计算机病毒,制造计算机病毒动机是什么?(课中进行)课时安排1课时【教学过程】一、导入新课本课以主人公阿木的故事,来讲述计算机病毒的出现、预防、治疗。
故事引入讲述一个故事,通过学生身边经常发生事情,引起学生的兴趣,把学生吸引到课堂上来。
阿木(网名:深情小刀)有一天经常跟朋友在QQ上聊天,有一天,一位非常要好的朋友QQ上给他发了这么一条信息:由于跟这位朋友很熟,因此阿木就随手点了那个链接,可他并没有看到什么,紧接着,他的电脑就弹出了一个对话框:那么究竟发生什么事了?无疑我们的阿木中招了,这是典型的冲击波病毒的表现,看来江湖险恶呀!二、教授新课1.计算机病毒的概念计算机病毒是一种人为编制的有害程序,能够自身复制,这种特殊的程序能够在计算机系统中生存,在一定的条件下被激活并破坏计算机系统,给计算机造成不可估量的损失。
2.计算机病毒的特点a.具有传染性b.具有隐蔽性c.具有潜伏性(“黑色星期五”每逢13号且是星期五发作)d.具有破坏性(“cIH”病毒能破坏计算机的主板)3.为什么编写计算机病毒a.开个玩笑,搞个恶作剧。
2024年计算机病毒与防治
计算机病毒与防治一、引言随着信息技术的飞速发展,计算机已经成为人们日常生活、工作和学习的重要工具。
然而,与此同时,计算机病毒也日益猖獗,给用户带来了诸多不便和损失。
计算机病毒是一种具有自我复制能力的恶意软件,它能够在用户不知情的情况下传播、感染其他计算机,并对计算机系统和数据造成破坏。
因此,了解计算机病毒的特点、传播途径和防治方法,对于保护计算机安全具有重要意义。
二、计算机病毒的特点和传播途径1.特点(1)隐蔽性:计算机病毒具有较强的隐蔽性,能够在用户不知情的情况下感染计算机。
(2)传染性:计算机病毒具有自我复制能力,能够感染其他计算机。
(3)破坏性:计算机病毒会对计算机系统和数据造成破坏,导致系统崩溃、数据丢失等问题。
(4)寄生性:计算机病毒需要依附于其他程序或文件才能运行。
(5)可触发性和不可预见性:计算机病毒在特定条件下才会触发,且病毒行为难以预测。
2.传播途径(1)网络传播:通过电子邮件、软件、浏览网页等途径,病毒可以迅速传播。
(2)移动存储设备传播:病毒可以通过U盘、移动硬盘等移动存储设备传播。
(3)操作系统和应用软件漏洞:病毒可以利用操作系统和应用软件的漏洞进行传播。
(4)社交工程:通过欺骗用户、附件等方式,病毒可以传播。
三、计算机病毒的防治方法1.预防措施(1)安装正版操作系统和软件,及时更新补丁,修补安全漏洞。
(2)安装杀毒软件,定期更新病毒库,进行全盘扫描。
(3)不随意和安装未知来源的软件,不陌生。
(4)使用高强度密码,避免使用简单密码。
(5)定期备份重要数据,以防数据丢失。
(6)提高网络安全意识,不轻信社交工程手段。
2.查杀病毒(1)断开网络连接,防止病毒进一步传播。
(2)使用杀毒软件进行全盘扫描,清除病毒。
(3)修复操作系统和应用软件的安全漏洞。
(4)恢复被病毒破坏的系统文件和数据。
四、总结计算机病毒作为一种恶意软件,给用户带来了诸多不便和损失。
了解计算机病毒的特点、传播途径和防治方法,对于保护计算机安全具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
郑州轻工业学院本科设计题目:病毒与计算机安全_学生姓名:张波__系别:计算机与通信工程学院专业:网络运维____班级:13—02____学号:************指导教师:吉星、程立辉_2016 年摘要:计算机技术不断进化创新,病毒技术也与时俱进。
病毒己经成为一种社会现象,影响力与日俱增。
现在的视窗操作系统下的病毒己经非常完善了,它们使用汇编、高级和脚本语言编写,利用了系统的种种漏洞,使用先进的加密和隐藏算法,可以对杀毒软件进行攻击。
全世界每年因病毒造成的损失不可估量。
在反病毒行业中,杀毒软件厂商迫于商业性的目的,不得不将一些很简单的问题隐藏在广告和宣传的迷雾之中。
从Win32病毒所需基础知识开始,详细阐述了PE格式、重定位、API地址获取、遍历网络与硬盘、利用IRC,P2P,E-Mail传播病毒的原理与细节。
最后,本文讨论了反病毒的一些关键技术:样本的截获、特征码提取、特征字原理以及当前最流行的对抗变形和未知病毒的启发式扫描技术。
关键词:病毒;多态;变形;扫描;启发式1.绪论 (1)1.1 课题背景 (1)1.1.1 什么是计算机病毒 (1)1.1.2 目的与意义 (2)2. 病毒基础知识 (2)2.1 PE文件格式与计算机病毒 (2)2.1.1 PE文件格式与Win32病毒的关系 (2)2.1.2 PE文件格式介绍 (3)2.2 地址与汇编指令的本质 (4)2.2.1 地址的基本概念 (4)2.2.2 映射的本质 (4)2.2.3 重要汇编指令的含义与技巧 (5)2.3 方汇编技术 (6)2.4 小结 (6)3. 病毒传播途径 (7)3.1 通过1PC传播 (7)3.2 通过电子邮件传播 (8)3.2.1 原理 (8)3.2.2 SMTP协议框架 (8)3.3 利用Sniffer来建立信任关系 (8)3.4 通过IRC聊天通道传播 (9)4. 病毒的攻与防 (10)4.l样本截获技术 (10)4.2提取样本技术 (11)4.3如何发现普通病毒 (11)4.3.1 特征码扫描简介 (11)4.3.2 特征字扫描 (12)4.4如何发现变形病毒和未知病毒 (13)4.4.1简单变形 (13)4.4.2模拟器 (Emulator)原理 (13)4.4.3传统扫描技术与启发式代码分析扫描技术的结合运用 (15)4.5小结 (17)5. 病毒预测 (17)6. 结论 (18)1. 绪论1.1 课题背景人类进入了信息社会创造了电子计算机,同时也创造了计算机病毒。
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长久共存。
而且,病毒主要朝着能够迅速传播、更好的隐蔽自己并对抗反病毒手段的方向发展。
同时,病毒己被人们利用其特有的性质与其他功能相结合进行有目的的活动。
病毒的花样不断翻新,编程手段越来越高,防不胜防。
特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫传播更快更广,Windows病毒更加复杂,网络蠕虫成为病毒设计者的首选(也有人认为蠕虫并不是病毒,蠕虫和病毒是有分别的,见Internet标准RFC2828).目前,计算机病毒之所以到处不断的泛滥,其一方面的原因就是查解病毒的手段总是跟在一些新病毒的后面发展,所以新病毒就能跳过传统的病毒特征代码分析、动态仿真跟踪、实时监控程序、自动解压缩技术等常用反病毒手段的监视而到处传染。
1.1.1 什么是计算机病毒计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:11指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
简单精确的说,能够主动复制自身的一组指令就是病毒。
这包含了两个要素,一个是主动,这是病毒传播特性的体现,如果可以四处传播但却是被动进的,就不是病毒,比如QQ,大家从腾讯网站上下载,QQ.exe得到四处传播,但因为是被动进行,所以不是病毒;另一个是一段指令,这体现了病毒的寄生性,也就是病毒这个名称的来历,因为生物界中的病毒都是寄生在细胞内,它不是细胞,不能单独生存,却可以在不同细胞中复制自身。
病毒也一样,它的寄生体就是程序(文件)。
那么,作为一个完整的文件来传播的,就类似于生物界中的细菌(细菌是细胞),那就是蠕虫,现在也被广义地看作病毒。
随着互联网的普及和迅猛发展,病毒也向着多元化方向发展,很多病毒都具有病毒和蠕虫等的多重特性。
1.1.2 目的与意义计算机病毒破坏硬盘上的数据,拥塞网络,干扰人们的正常生活,每年的直接和间接经济损失都数以百亿计。
防治病毒的重要性不言而喻。
2. 病毒基础知识2.1 PE文件格式与计算机病毒在编写Dos文件型病毒时,不可避免我们要非常了解MZ文件格式。
同样如果想在Windows环境下编写感染EXE的文件型病毒,我们不得不先在PE文件格式上下一番功夫。
2.1.1 PE文件格式与Win32病毒的关系Win32病毒感染文件时,一般都是针对EXE,SCR文件,而这些文件都是PE格式,所以,只有了解PE格式的规范和细节,才能编写PE 文件型病毒。
一般来说,Win32病毒是这样被运行的:1.用户点击 (或者系统自动运行)一个染毒程序2.PE装载器(系统程序)通过PE文件中的Address Of Entry Point 和Image Base之和来定位第一条语句在内存的偏移。
3.从第一条语句开始执行 (这时其实执行的是病毒代码)4.病毒主体代码执行完毕,将控制权交给染毒程序。
5.染毒程序继续执行。
可见,Win32病毒要想对.EXE文件进行传染,了解PE文件格式确实是不可少的。
下面我们就将结合计算机病毒的感染原理,具体分析一下PE文件的具体格式。
2.1.2 PE文件格式介绍PE就是Portable Executable(可移植的执行体)。
它是Win32可执行文件的标准格式。
"Portable Executable"意味着此文件格式是跨win32平台的。
即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识别和使用该文件格式。
当然,移植到不同的CPU上PE执行文件必然得有一些改变。
所有Win32执行体(都使用PE 文件格式,包括 NT的内核模式驱动程序 (kernel mode drivers).因而研究PE文件格式,除了有助于了解病毒的传染原理之外,也给了我们洞悉悉Windows结构的良机。
表1-1是PE文件格式的概要。
所有PE文件(甚至32位的DLLs)必须以一个简单的DOS MZ header 开始。
有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随MZ header之后的DOS stub. DOS stub实际上是个有效的EXE,在不支持PE文件格式的操作系统中,它将简单显示一个错误提示,类似于字符串 "This program requires Windows"。
紧接着DOS stub的是PE header。
包含了许多PE装载器用到的重要域。
执行体在支持PE文件结构的操作系统中执行时,PE装载器将从DOS MZ header中找到PE header的起始偏移量。
因而跳过了DOS stub直接定位到真正的文件头PE header。
2.2 地址与汇编指令的本质2.2.1 地址的基本概念虚拟地址=逻辑地址=【段选择子】:【线形地址】,利用段选择子找到描述符,描述符有字段表示段的基地址 (在Win32中都是0,所以线形地址就是真正地址)还有字段表示段属性,实际上起到保护作用。
事实上,在Win32中,其他地址己经不重要了,关键的只是线形地址。
我们在程序中使用的都是线形地址,我们完全可以忘记虚拟内存的概念,认为每个进程确实具有4G的物理内存,OS和CPU屏蔽了这个细节。
不考虑它,也不会影响程序的编写。
程序在执行时,CPU 会将我们使用的地址(可能是硬编码或寄存器)转换为物理地址。
寻址时,最重要的寄存器是eip和CR3.CR3的内容是物理地址,这在寻址过程中是很特殊的,因为Win32在保护模式下,感觉上都是虚拟地址,但是,如果真的都是虚拟地址,可就真的没办法定位到物理内存了。
CPU只是根据eip的值一条一条的执行。
此时访问的地址就是本进程(P)的4G空间,执行P的指令。
如何实现的呢?关键是页表。
2.2.2 映射的本质内存和CPU,之间有一个MMU部件(Memory Management Unit),cpu 执行时,把eip高20位作为一个索引,再将[index+CR3]的作为高20位,eip的低12位作为低12位组合在一起,形成新的32位地址,这就是物理地址.把页表想象成一个数组,个数为2~20(1M),大小为4M,页表当然存储在物理内存中,CR3就是数组首地址。
数组的每一项为一个DWORD,双字的前20位表示一个物理页面。
形象地:页号(0~19) …页属性保留(30) 提交 (31) CR3一> 00100 rw 1 101001 r 1 001010 0 0 000111 0 0 010011 0 0 0这表明,物理内存的第4个物理页面提交,第9个保留.每个进程都含有这样一个页表,其中的页号可能一样,就是对应相同的物理页面,比如内存映射文件。
此时一个进程修改的数据,其他进程访问时也会改变。
每个进程都有4G的内存可以使用,只是很多页面没有提交而己,这就是每个进程有4G的原理。
所谓映射,简单的说,就是将页表项的保留和提交设置为1而已。
解除映射则置。
解除后,再使用线形地址访问内存时,找到页表相应项,发现此页面没有保留,就会发生内存错误。
值得注意的是,即使使用Map View Of File,页表中提‘交’字段也未必是1,只是作了保留标志,其他函数请求内存时就不会重复分配了,真正访问这个页面时再产生页错误而真正分配物理页。
2.2.3 重要汇编指令的含义与技巧指令含义1.CALLX <一>PUSH EIP;IMPX这是唯一获得EIP的方法。
2.PUSHX <一>SUB ESP,4;MOV[ESP],X3.RET <->POP EIP把栈顶内容放入EIP4.STOSD <一>MOV [EDI],EAX ;ADD EDI,4技巧1.将寄存器清零XOR EAX,EAX不要用MOV EAX,O寄存器和零比较OR EAX,EAX 不要用CMP EAX,O连续多个PUSH 0XOR EAX, EAXPUSH EAX PUSH EAX PUSH EAX不要用PUSH 0 PUSH 02.3 方汇编技术这种方法要求病毒包括一个小型的反汇编软件,感染的时候,将被感染文件加载到内存中,然后一条一条代码的进行反汇编,当满足某个特定的条件的时候(病毒认为可以安全的改变代码了),将原来的指令替换成一条跳转指令,跳转到病毒代码中,“CNTV”和“中间感染”病毒是用这种方法插入跳转到病毒的指令。