WindowsPE文件感染技术的研究

　　0.引言

　　随着计算机和互联网技术的快速发展，计算机正走进社会的各个领域，走进千家万户，计算机系统已经能够实现生活、管理、办公的自动化，成为人类社会不可或缺的一部分。 然而，计算机系统并不安全，其不安的因素有计算机系统自身的、自然不可抗拒的，也有人为的。计算机病毒就是其中最不安全的因素之一。

　　Windows PE 病毒是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。 本文介绍了 PE 文件的结构，研究了各种 PE 文件的感染方式，并对 PE 文件的主要感染技术的实现方法进行了分析。

　　1. Windows PE文件的格式

　　目前主流的操作系统是 Windows 操作系统， 病毒要在 Windows操作系统上进行传播和破坏，其病毒文件也必须遵循 PE 文件的格式结构。目前流行的计算机病毒以蠕虫、木马等类型病毒为主，这一类的病毒文件也大都是 PE 格式的文件。

　　1.1 PE 文件简介

　　PE 是 Portable Executable 的所写,即可移植、可执行。 它是 Win32可执行文件的标准格式。 它的一些特性继承自 UNIX 的 Coff(Commonobject file format)文件格式。 Portable Executable 就意味着此文件是跨Win32 平台的，即使 Windows 运行在非 Intel 的 CPU 上， PE 装载器都能识别和使用该文件格式。 因而，研究学习 PE 文件格式，除了有助于了解病毒的传染原理之外， 还给我们提供了洞悉 Windows 结构的良机。

　　1.2 PE 文件的结构

　　PE 文件以一个简单的 DOS MZ header 开始。 有了它，一旦程序在DOS 下执行时，就能被 DOS 识别出这是否是有效的执行体。 紧随 MZHeader 之后的是 DOS Stub (DOS 插桩程序)， 实际上就是一个在 DOS环境下简单调用 INT 21h 中断，并显示“This program can not be run in DOS mode” 或者 “This program must be run under Win32” 之类信息的小程序。 紧接着 DOS Stub 的是 PE Header，PE Header 是 PE 文件结构体IMAGE_NI_HEADERS(NT 映像头)的简称，它存放了 PE 整个文件信息分布的重要字段。紧接着 NT 映像头之后的是节表。 节表实际上是一个结构体数组，其中每个结构体包含了该节的具体信息(每个结构体占用 28H 个字节)。 该成员的数目由映像文件头(IMAGE_FILE_HEADER)结构体中NumberOfSection 域决定。在节表中第 2 项 VirtualSize 、 第 3 项 VirtualAddress、 第 4 项SizeOfRawData、第 5 项 PointerToRawData、第 10 项Characteristics 是病毒传染时经常利用的的。

　　2. PE文件的主要感染技术

　　2.1 后缀式感染

　　后缀式感染是 DOS 以及 Windows 下文件型病毒最常用的感染方式，也是非常流行的一种感染方式。这种感染方式是比较简单的，只要把病毒体缀在宿主文件最后，再修改程序入口，进行对齐就行了。实际上这种方式的实现也是最简单易行的，却非常适合对病毒进行复杂的加密变形!后缀式感染技术有两种形式。 一种是在被感染文件中新加一个节，将病毒代码加入到这个节里面，然后修改入口点指向这个节，在病毒执行完成后再回到原来的入口点。这种方式的缺点是不一定总能成功，很可能没有地方加入一个新节。 另一种简单而有效的方式是把病毒体直接缀在最后一个节的后面， 然后再修改那个节的相关属性，并注意对 Image 和 File 的对齐就行了。