一个正常的程序感染后,当你启动这个程序的时候,它通常会先执行一段病毒代码,然后自身运行,这样病毒就悄无声息的运行起来,然后再去感染其他PE文件,这就是PE病毒的行为。那么,pe文件病毒有哪些传播方式呢? 小编了解到,PE文件病毒一般采用嵌入宿主程序的方式来进行传染,利用PE文件中的空隙或增加一节方法栖身于PE文件中,并将程序入口点指向病毒代码,当文件执行时首先执行该病毒,然后执行宿主程序,其原理与DOS下病毒大同小异,但具体实现方法有许多创新。 pe文件病毒的传播方式有:盗板光盘、软盘、安全性不佳的共享网络等。 PE病毒常见的感染其他文件的方法是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后的返回Host程序的代码,并修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面以CIH病毒为例具体分析病毒感染过程: CIH病毒属于文件型病毒,主要感染Windows PE可执行文件。由于CIH病毒使用了VxD技术使得这种病毒在Windows环境下传播,其实施性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中传播。 感染了CIH病毒的程序被执行时,CIH首先使用了SIDT取得中断描述符表基地址,然后将INT3的入口地址改为指向CIH病毒自身的INT3程序入口。接着CIH自己产生一条INT3指令,这样CIH病毒就可以获得最高级别的CPU使用权限。接下来,CIH将判断DR0寄存器的值是否为0,如果不是则表明计算机已被CIH病毒感染,自己则正常退出;如果DR0寄存器的值为0,就表明没有CIH病毒驻留内存,这时CIH病毒首先会将当前EBX寄存器的值赋给DR0寄存器,作上驻留标记,然后调用INT20,使用VxD call page ALLocate系统调用,向系统申请内存空间来驻留,当申请成功后,CIH病毒就从被感染的文件中将其病毒代码组合起来,放到申请的内存空间中。随后CIH病毒再次调用INT3进入CIH病毒体的INT3入口程序,接着调用INT20,调用一个IFSMgr_Install File System ApiHook 子程序,目的是借助文件系统处理函数来截取系统文件,调用操作。完成这个工作之后,Windows 98/95默认的IFSMgr_Ringo_ FileI0服务程序的入口地址将被CIH病毒保留,以便它的调用。 这样CIH病毒就完成了引导工作,驻留在内存中,开始监视系统的文件调用操作。一旦系统出现要求调用文件CIH就首先截获被调用的文件。然后判断该文件是否为PE格式的EXE 文件,如果是就将自身拆成几段,插入到该文件的空域中,然后修改PE格式文件的文件头中的文件映像执行参数,使其首先指向病毒体;如果不是就将调用转接给Windows 98/95的IFSMgr_I0服务程序。 以上就是漂亮女人街给大家介绍的pe文件病毒的传播方式的相关介绍,希望对您有所帮助。稍后,我们要介绍如何清除寄生在文件上的病毒,欢迎关注更多网络病毒小知识。 |
"小编整理不易,小礼物走一走,万分感谢!"
赞赏
真诚赞赏,手留余香
相关资讯
- 防波堤算不算建设用地
- 建设用地是指建造建筑物、构筑物的土地,是城乡住宅和公共设施用地,工矿用地,能源、交通、水利、通信等基础设施用地,旅游用地,军事用地等,付出一定投资(土地开发建设费用),通过工程手段,为各项建设提供的土
- 2021冬季取暖补贴每个月多少钱
- 冬季取暖补贴每个月多少钱可以说是大家当前闲聊时常会提到的话题,毕竟当下已经十月中旬,眼见着马上就要入冬了,很多地方都发布了供暖时间,由于北方地区大多数人都是能收到取暖补贴的,下面小编就和大家一起看看哪
- 汽车漏汽油有什么症状
- 汽车漏油也是在所难免的,这样的现象也是常见的,但是汽车漏汽油有什么症状呢?接下来让我们漂亮女人街的小编为您具体介绍一下吧。汽车漏油,是液压设备存在的共性问题。油液从油缸高压腔泄漏到低压腔或泄漏到缸体外
- 如何搞好探伤作业
- 探伤作业是指用射线源从事无损检测的施工作业,而对于探伤作业来说也是一个技术活,那么如何搞好探伤作业呢?下面小编就来为您讲解一下。 探伤作业管理人员职责安全健康环保部对本厂范围内的探伤作业进行安全监督,对
- 内燃钢轨钻孔机怎么操作
- 钢轨钻孔机由动力部分、卡具和钻孔部分组成。其动力部分可以采用电动机,也可以采用小型汽油机。那么,内燃钢轨钻孔机怎么操作呢?下面就让漂亮女人街小编来介绍吧!操作步骤:1、先将高压水壶内注满水;2、查看机器
- 拆迁私有房屋有哪些补偿
- 随着社会经济发展、城市化进程加快,拆迁已变得非常普遍。那么拆迁私有房屋有哪些补偿? 根据上海市拆迁法规规定,被拆迁私房所有人可有两种选择补偿:一、私房所有人不保留产权,要求用公房安置的,按估价标准的60%