徐耀洪 陈 智 宁康琪

[摘 要]随着计算机技术发展,它给人们的生活工作带来了巨大的便利,但是由于计算机病毒的出现,使得在享受计算机的好处的同时,又面对着病毒攻击的困扰。本文介绍了基于PE文件格式的Windows病毒关键技术,并着重介绍了反病毒的一些相关技术。

[关键词]PE文件格式 病毒与反病毒关键技术

[中图分类号]TP391[文献标识码]A[文章编号]1007-9416(2009)12-0106-03

Analysis of Key Technique in Windows PE counter-Viruses

Xu YaohongChen ZhiNing Kangqi

Dep. of Information Engineer, Shaoyang University, Hunan,422000, Shaoyang China

[Abstract]With the development of computer technology, it makes our life more convenience. But as a result of computer virus' appearance, we must face the viral attack. This paper analysized the Key Technique in Windows PE counter-Viruses and the counter-virus's technology.

[Key words] PE document format; Viral and counter-viral key technologies

1 引言

计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面。由于当前计算机的操作平台大多数是Windows xp/NT以上的,大多数计算机病毒都是以此为基础来编写的,故分析基于PE文件格式的Windows病毒关键技术分析具有非常重要的意义。

2 PE文件格式简析

PE文件是微软设计在所有Win32操作系统下的可执行文件格式。对于PE文件头,和其他微软可执行文件格式一样,PE表头并非在文件的最开始处。所有PE文件必须以一个简单的DOS MZ头文件开始,紧接着DOS MZ头是所谓的DOS stub,它是一个极小DOS程序,用来输出像“该程序不能在DOS模式下运行”这样的信息这也就是为什么在纯DOS方式下运行PE格式文件的第一字节对应到DOS stub 的第一的字节。紧接着DOS stub 的是PE头。PE头是PE相关结构IMAGE-NT-HEADERS的简称,其中包含了许多PE装载器用到的重要域。PE头中包含了PE的标志,此标志为DWORD类型,其值为“PE”。PE头接下来的数据结构是段表,每个结构包含对应段的属性,文件偏移量,虚拟偏移量等内容。PE文件里有多少段,此结构数组内就有多少个成员。

3 基于PE文件格式的Windows反病毒技术分析

计算机病毒的产生和迅速蔓延,使计算机系统的安全受到了极大的威胁,人们意识到计算机安全的重要性,也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现,计算机反病毒技术也不断更新和发展。

由于Windows具有多任务特性。故对于同时运行多个任务的情况,传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能,因为它无法控制其他任务所使用的资源。只有在较高优先级上,对系统资源进行全面、实时的监控,才有可能解决Windows多任务环境下的反病毒问题。 实时反病毒概念最大的优点是解决了用户对病毒的“未知性”,或者说是“不确定性”问题。不借助病毒检测工具,普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候,系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警,督促用户在病毒疫情大规模爆发以前采取有效措施。实时监测是先前性的,而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入,它就报警,并自动杀毒,将病毒拒之门外,做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法,实时监测的安全性更高。

4 一种抢先式病毒预防程序的实现

威金病毒属蠕虫类,病毒运行后释放病毒文件%WINDDIR% undl132.exe、%WINDDIR%Logo1_.exe、系统盘根目录\_desktop.ini、%Program Files%\_desktop.ini、桌面viDll.dll,会在大量文件夹中释放文件_desktop.ini;连接网络,开启端口,下载病毒文件%WINDDIR%sy.exe、%WINDDIR%1sy.exe、%WINDDIR%2sy.exe;开启进程conime.exe及其自身,注入到进程explorer.exe中,修改注册表,添加启动项,以达到随机启动的目的;感染大部分非系统文件;病毒把自身加入到要感染的程序,在被感染的程序运行时,病毒也同时运行,但在运行一次后自动释放病毒体,被感染文件也恢复正常,隔段时间后病毒会再次感染此应用程序;病毒尝试终止相关杀病毒软件;病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

在此做了一个真实的病毒感染实验来验证预防程序的效果,首先从已建立病毒库中提取出Viking的病毒样本,如图1所示。解压文件后,运行病毒体,病毒加载到内存中运行,如图2所示。但病毒无法完成安装模块,也无任何严重的感染行为。清除此病毒也只需从任务管理器中结束病毒进程,删除病毒体即可以清除该病毒。经实验结果表明,抢先式病毒预防程序可以有效的防止计算机病毒的侵害。

5 结语

抢先式病毒预防的优点是简单,易于编制,对于已知病毒的预防效果较好。但如果病毒的变种过多,防御效果将随之下降。抢先式病毒预防是一个面对普通计算机用户较好的病毒预防方案,更重要的目的是通过此方法来加强普通计算机用户的防病毒意识,尽量减少计算机病毒所带来的危害和损失。

[参考文献]

[1] 黄毅静.计算机病毒知识及其反病毒技术[N].山东省青年管理干部学院学报,2003.03(2).

[2] 蒋秀英.计算机病毒及其防范技术[J].枣庄师专学报,2004. 17(2):109～111.

[3] 耿玉清.浅析计算机病毒及其防治[J].内蒙古民族大学学报,2006.12(4):26～27.