Windows平台下的PE病毒文件的研究及实现(汇编语言)
来源:wenku163.com 资料编号:WK1632557 资料等级:★★★★★ %E8%B5%84%E6%96%99%E7%BC%96%E5%8F%B7%EF%BC%9AWK1632557
资料介绍
摘要 在计算机病毒技术与反病毒技术激烈斗争的今天,病毒技术的复杂多变,发展迅速给计算机用户同时也给反病毒技术带了巨大的挑战。本文详细剖析了时下较流行的Windows 32位操作系统平台下最为常见的PE病毒机制,配合以代码实现的方式,从一个病毒编写者的角度展示病毒基本原理,并以此为契机从而做到更好的防范病毒。第一部分分别介绍了Windows病毒的基本原理、分类,并着重介绍PE病毒基本原理,基本机制;第二部分则根据PE病毒原理用编写实际代码的方式实现一个感染正常EXE文件(如WinRAR.exe)、关机并通过U盘传播等功能的病毒程序;第三部分则通过功能测试(白盒测试)、杀毒软件测试,总结并展望病毒技术;最后通过此次课题的研究成果,结合当今主流反病毒技术,总结Windows PE病毒防范技术。
关键字:Windows病毒;PE病毒;反病毒技术;PE文件格式;PE病毒实现 The Research and Implementation of PE Documentary Virus base on Win32 Platform Abstract Nowadays, computer virus technology is growing rapidly as fast as development speed of anti-virus technology.Computer virus technology is becoming complex and changing rapidly. It brings enormous challenges to anti-virus technology. This paper analyzes the most common PE virus mechanism base on Win32 platform that is explained by the way of code realization. The article also demonstrates the basic mechanism of virus from the perspective of the virus creator and gives the suggestion to achieve a better anti-virus result. At the beginning, the article introduces the basic knowledge of Windows virus and classification. This part highlights the basic tenets of PE virus and basic mechanism. The second part compiles the code realization according to the principles. It can infect an EXE program (e.g. WinRAR.exe) and spread by u disk. The third part shows the result of passing the test (white box testing) and makes the summary and forecast. The last part summarizes the Windows PE anti-virus technology through the research on this topic with mainstream anti-virus technology. Key Words:Windows virus; PE virus; anti-virus technology; PE format; implementation of virus program
本文第一部分介绍计算机基本知识;第二部分着重介绍计算机病毒中的Windows病毒,从内核级学习PE文件格式,PE病毒原理;第三部分结合第二部分的准备知识,分别介绍每个代码模块功能及实现;第四部分则介绍了针对PE病毒的一些解决方案;最后一部分对计算机的防治做了展望。
计算机病毒的定义 计算机病毒(Computer Virus)是一种人为的制造的、能够进行自我复制的、具有对计算机资源破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似生物病毒,它能把自身附着在各种类型的文件上或寄生在存储媒介中,能对付计算机系统和网络进行各种破坏,同时有独特的复制能力和传染性,能够自我复制——主动传染;另一方面,当文件被复制或在网络中从一个用户送到另一个用户时——被动传染,他们就随同文件一起蔓延开来。 在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中,计算机病毒被定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够字我复制的一组计算机指令或者程序代码”。这一定义具有一定的法律性和权威性。是对计算机病毒的狭义定义。
PE文件格式 目前主流的操作系统是Windows操作系统,病毒要在Windows操作系统上进行传播和破坏,其病毒文件也必须遵循PE文件的格式结构,。目前流行的计算机病毒以蠕虫、木马等类型病毒为住,这一类的病毒文件也大都是PE格式的文件,因此,我们在这一节会详细介绍PE格式文件,这是分析病毒程序的基础。
本毕业设计是在Win32位平台下用Win32汇编语言实现的一个可执行程序,程序全部使用汇编语言完成,并使用ollydby动态跟踪调试,程序基本体现了病毒程序的传播性、潜伏性、破坏性,能够在U盘上进行传播,能对EXE文件进行寄生传染。通过测试,该病毒具有一定的生存能力,目前能避免瑞星、卡巴斯基等杀毒软件的查杀,但也存在一定的不足,比如传播能力不够强,破坏性不够大,自身监控能力不足等,因此本毕业设计的课题可继续在网络传播、线程注入、系统监控等方面继续研究完善和提高。通过这次毕业设计,我也更加深入的了解到病毒的核心知识,并掌握了病毒的一些编程技巧,希望在以后的学习工作中继续努力,逐渐提高自己的研究能力,成为一个合格的信息安全专业人才。
目录 1引言 1 2计算机病毒概述 1 2.1计算机病毒的定义 1 2.2计算机病毒的基本性质与本质 2 3 Windows病毒 4 3.1Windows病毒分类 4 3.1.1PE病毒 4 3.1.2脚本病毒 4 (毕业设计) 3.1.3宏病毒 4 3.2 PE病毒原理 4 3.2.1 PE文件格式 4 3.2.2检验PE文件的有效性 7 3.2.3病毒重定位 8 3.2.4获取API函数地址 9 3.2.5文件操作 12 4 Windows PE文件病毒的研究及实现 14 4.1病毒程序实现 14 4.1.1病毒程序编写背景 14 4.1.2病毒程序基本功能介绍 15 4.1.3病毒程序编写环境 15 4.1.4病毒程序简要流程框图 15 4.1.5病毒程序主模块-JERRY.ASM 16 4.1.6病毒程序搜索API函数模块-SearchAPI.ASM 16 4.1.7病毒程序感染EXE文件模块-Modify_PE.ASM 17 4.1.8病毒程序感染及U盘传播模块-EffectU.ASM 20 4.1.9病毒程序发作模块-Burst.ASM 21 4.2病毒程序测试 22 4.2.1病毒程序测试环境 22 4.2.2病毒程序测试过程 23 4.2.2病毒程序测试结果 24 4.3病毒程序总结分析 28 4.3.1病毒传播能力分析 28 4.3.2病毒潜伏能力分析 28 4.3.3病毒破坏能力分析 28 4.3.4病毒程序自我总结 28 4.3.5病毒程序完善方向 29 结 论 29 参考文献 29 致 谢 30 声 明 31 |