windows PE病毒是Win32環境自身所帶的執行體檔案格式,它的一些特性繼承自UNIX的common object file format檔案格式。
基本介紹
- 中文名:windows PE病毒
- 感染系統:windows系統
概述,感染方式,
概述
它保留了MZ檔案頭以便於運行於DOS,在win重廣泛存在,除了.dll和VXD格式不屬於這個格式,可以在安全模式下刪除,危害和一般病毒一樣,通過修改執行檔的代碼重程式入口地址,變成病毒的程式入口,導致運行程式時啟動病毒檔案,如果感染,安全模式下刪除就沒事了。
感染方式
1)傳統感染。該類病技術性,病毒編寫者通常需要對PE檔案格式有比較深入的了解。該類病毒感染的原理是將病毒代碼寫入到目標宿主程式體內,然後修改目標宿主程式的檔案頭或者部分程式代碼,使得宿主程式在運行時可以調用病毒代碼的執行。這列病毒感染目標程式之後通常不會改變目標程式的圖示,如果採用空隙式感染則不會增加目標程式的大小(如CIH病毒)。
這類病毒編寫起來難度較大,寫入到目標宿主程式體內的病毒代碼自身要解決變數重新定位、自己搜尋API函式地址等關鍵技術。通常這類病毒是使用Win32彙編編寫的。這類計算機病毒在進行病毒清除時也比較困難。
(2)捆綁式感染。這類計算機病毒在感染宿主程式時,會使自身整體直接或者進行壓縮之後放入到目標宿主程式之中,或者將自身代碼覆蓋到目標宿主程式最前面,同時將目標宿主程式直接或者進行壓縮後保存在病毒程式之後。這樣,當目標宿主程式運行時,實際上執行的是計算機病毒程式,為了保證目標程式也可以正常執行,該類計算機病毒會將原始目標程式解壓釋放然後執行。
當然,這類病毒在感染時需要對目標程式的圖示進行提取替換,否則目標程式的圖示就會發生改變。例如,熊貓燒香病毒便是這種感染方式,且被感染之後的PE檔案圖示都是一個熊貓圖案。
這類計算機病毒在清除時的難度較前一種感染方式較小。
(3)複製性傳播。這類計算機病毒本身不對任何PE檔案進行感染,其通常在目標計算機中保存幾個病毒檔案。由於不感染任何檔案,因此這類病毒程式必須在作業系統中寫入自啟動項,以便於系統重新啟動之後這些病毒程式可以獲得控制權。這類計算機病毒由於不感染本地主機中的檔案,其在進行傳播時通常採用可移動存儲介質或者網路互動方式進行傳播。
(4)覆蓋式病毒。這類計算機病毒直接對目標PE檔案進行覆蓋,如“小浩”病毒。著了計算機病毒沒有什麼技術性可言,感染該類計算機病毒之後,原有的被感染檔案數據全部或者部分丟失。在對這類計算機病毒進行清除時,直接刪除掉病毒體檔案即可。
(2)捆綁式感染。這類計算機病毒在感染宿主程式時,會使自身整體直接或者進行壓縮之後放入到目標宿主程式之中,或者將自身代碼覆蓋到目標宿主程式最前面,同時將目標宿主程式直接或者進行壓縮後保存在病毒程式之後。這樣,當目標宿主程式運行時,實際上執行的是計算機病毒程式,為了保證目標程式也可以正常執行,該類計算機病毒會將原始目標程式解壓釋放然後執行。
當然,這類病毒在感染時需要對目標程式的圖示進行提取替換,否則目標程式的圖示就會發生改變。例如,熊貓燒香病毒便是這種感染方式,且被感染之後的PE檔案圖示都是一個熊貓圖案。
這類計算機病毒在清除時的難度較前一種感染方式較小。
(3)複製性傳播。這類計算機病毒本身不對任何PE檔案進行感染,其通常在目標計算機中保存幾個病毒檔案。由於不感染任何檔案,因此這類病毒程式必須在作業系統中寫入自啟動項,以便於系統重新啟動之後這些病毒程式可以獲得控制權。這類計算機病毒由於不感染本地主機中的檔案,其在進行傳播時通常採用可移動存儲介質或者網路互動方式進行傳播。
(4)覆蓋式病毒。這類計算機病毒直接對目標PE檔案進行覆蓋,如“小浩”病毒。著了計算機病毒沒有什麼技術性可言,感染該類計算機病毒之後,原有的被感染檔案數據全部或者部分丟失。在對這類計算機病毒進行清除時,直接刪除掉病毒體檔案即可。
