《毕业设计(论文)简述PE病毒在WINDOWS下的实现》由会员分享,可在线阅读,更多相关《毕业设计(论文)简述PE病毒在WINDOWS下的实现(32页珍藏版)》请在金锄头文库上搜索。
1、简述PE病毒在WINDOWS下的实现摘要在计算机病毒技术与反病毒技术激烈斗争的今天,病毒技术的复杂多变,发展迅速给计算机用户同时也给反病毒技术带了巨大的挑战。本文详细剖析了时下较流行的Windows 32位操作系统平台下最为常见的PE病毒机制,配合以代码实现的方式,从一个病毒编写者的角度展示病毒基本原理,并以此为契机从而做到更好的防范病毒。第一部分分别介绍了Windows病毒的基本原理、分类,并着重介绍PE病毒基本原理,基本机制;第二部分则根据PE病毒原理用编写实际代码的方式实现一个感染正常EXE文件(如WinRAR.exe)、关机并通过U盘传播等功能的病毒程序;第三部分则通过功能测试(白盒测
2、试)、杀毒软件测试,总结并展望病毒技术;最后通过此次课题的研究成果,结合当今主流反病毒技术,总结Windows PE病毒防范技术。关键字:Windows病毒;PE病毒;反病毒技术;PE文件格式;PE病毒实现The Research and Implementation of PE Documentary Virus base on Win32 PlatformAbstractNowadays, computer virus technology is growing rapidly as fast as development speed of anti-virus technology.Co
3、mputer virus technology is becoming complex and changing rapidly. It brings enormous challenges to anti-virus technology. This paper analyzes the most common PE virus mechanism base on Win32 platform that is explained by the way of code realization. The article also demonstrates the basic mechanism
4、of virus from the perspective of the virus creator and gives the suggestion to achieve a better anti-virus result. At the beginning, the article introduces the basic knowledge of Windows virus and classification. This part highlights the basic tenets of PE virus and basic mechanism. The second part
5、compiles the code realization according to the principles. It can infect an EXE program (e.g. WinRAR.exe) and spread by u disk. The third part shows the result of passing the test (white box testing) and makes the summary and forecast. The last part summarizes the Windows PE anti-virus technology th
6、rough the research on this topic with mainstream anti-virus technology.Key Words:Windows virus; PE virus; anti-virus technology; PE format; implementation of virus program目录 论文总页数32页1引言12计算机病毒概述12.1计算机病毒的定义12.2计算机病毒的基本性质与本质23 Windows病毒43.1Windows病毒分类43.1.1PE病毒43.1.2脚本病毒43.1.3宏病毒43.2 PE病毒原理43.2.1 PE文
7、件格式43.2.2检验PE文件的有效性73.2.3病毒重定位83.2.4获取API函数地址93.2.5文件操作124 Windows PE文件病毒的研究及实现144.1病毒程序实现144.1.1病毒程序编写背景144.1.2病毒程序基本功能介绍154.1.3病毒程序编写环境154.1.4病毒程序简要流程框图154.1.5病毒程序主模块-JERRY.ASM164.1.6病毒程序搜索API函数模块-SearchAPI.ASM164.1.7病毒程序感染EXE文件模块-Modify_PE.ASM174.1.8病毒程序感染及U盘传播模块-EffectU.ASM204.1.9病毒程序发作模块-Burst.
8、ASM214.2病毒程序测试224.2.1病毒程序测试环境224.2.2病毒程序测试过程234.2.2病毒程序测试结果244.3病毒程序总结分析284.3.1病毒传播能力分析284.3.2病毒潜伏能力分析284.3.3病毒破坏能力分析284.3.4病毒程序自我总结284.3.5病毒程序完善方向29结 论29参考文献291引言随着计算机和互联网技术的快速发展,计算机正走进社会的各个领域,走进千家万户,计算机系统已经能够实现生活、管理、办公的自动化,成为人类社会不可或缺的一部分。然而,计算机系统并不安全,其不安的因素有计算机系统自身的、自然不可抗拒的,也有人为的。计算机病毒就是最不安全因素之一。计
9、算机病毒是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物,是计算机犯罪的一种的新的衍化形式。自从第一例计算机病毒出现以来,随着计算机技术、网络技术的迅猛发展,计算机病毒也日益猖獗,成为了计算机网络安全、信息安全最大公害。各种计算机病毒的产生和蔓延,已经给计算机系统安全造成了巨大的威胁和损害,其造成的计算机资源的损失和破坏,不但会造成资源和财富的巨大浪费,而且有可能造成社会性的灾难,正因为如此,我们就应坚决地走到反病毒的行列中来。我们研究病毒,最终目的是为了消灭病毒。大多数计算机用户对病毒不了解才会造成病毒的横行,对于精通病毒原理的人来说,病毒是毫无攻击力的。我们要做到彻底地
10、消灭病毒,那么就不能全依靠少数编写杀毒软件的人,而是要做到了解病毒基本原理,了解病毒只是为了认识病毒,消除对病毒的恐惧心理,最终达到能够防毒、清除病毒的目的。所以对于病毒基本原理的学习,对计算机病毒编写的学习是非常有意义的。Windows PE病毒是所有病毒中数量极多、破坏性极大的、技巧性最强的一类病毒。譬如CIH、FunLove、中国黑客等。本文就以此类病毒为突破口,从基本原理到病毒代码的编写测试,完成一个基本的Windows PE病毒模型,从而更加了解PE病毒,更好的防治病毒。本文第一部分介绍计算机基本知识;第二部分着重介绍计算机病毒中的Windows病毒,从内核级学习PE文件格式,PE病
11、毒原理;第三部分结合第二部分的准备知识,分别介绍每个代码模块功能及实现;第四部分则介绍了针对PE病毒的一些解决方案;最后一部分对计算机的防治做了展望。2计算机病毒概述2.1计算机病毒的定义计算机病毒(Computer Virus)是一种人为的制造的、能够进行自我复制的、具有对计算机资源破坏作用的一组程序或指令的集合。这是计算机病毒的广义定义。类似生物病毒,它能把自身附着在各种类型的文件上或寄生在存储媒介中,能对付计算机系统和网络进行各种破坏,同时有独特的复制能力和传染性,能够自我复制主动传染;另一方面,当文件被复制或在网络中从一个用户送到另一个用户时被动传染,他们就随同文件一起蔓延开来。在19
12、94年2月18日公布的中华人民共和国计算机信息系统安全保护条例中,计算机病毒被定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够字我复制的一组计算机指令或者程序代码”。这一定义具有一定的法律性和权威性。是对计算机病毒的狭义定义。2.2计算机病毒的基本性质与本质计算机病毒种类繁多,特征各异,其中主要的有:自我复制能力;很强的感染性;一定的潜伏性;特定的触发性;很大的破坏性。1计算机病毒的可执行性(程序性)程序性是计算机病毒的基本特征,也是计算机病毒最基本的一种表现形式。程序性也就决定了计算机病毒的可防治性、可清除性。计算机病毒程序与其他合法程序
13、一样,是一段可执行的程序,但他不是一个完整的程序,而是寄生在其他可执行程序上的一段程序,因此他享有一切可执行程序所能得到的权力。计算机的控制权是关键问题。反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止起取得系统控制权,并及时将其清除。2计算机病毒的传染性病毒一次源于生物学,传染也相应成了计算机病毒最基本的特性。计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,他可得到大量的繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道通过已被感染的计算机扩散到未被感染的计
14、算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。是否具有传染性,是判断一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。3计算机病毒的非授权性计算机病毒未经授权而执行。正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见的、透明的。而病毒隐藏在正常程序中,窃取正常程序的系统控制权,其目的对用户是未知的,是未经用户允许的。4计算机病毒的隐蔽性计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件的形式出现,目的是不让用户发现他的存在。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的,而一旦病毒发作表现出来,往往已经给计
15、算机系统造成了不同程度破坏。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游离与世界上的百万台计算机中。计算机病毒的隐蔽性通常表现在以下两个方面: 传染的隐蔽性。大多数病毒的代码设计得非常精巧而又短小,一般只有几百字节到几K,而PC对文件的存取速度非常快,所以病毒会在转瞬之间便可将这些病毒程序附着在正常文件之上,一般不具有外部表象,不易被人发现。 病毒程序存在的隐蔽性。病毒程序通常以隐蔽的方式存在,且被病毒感染的计算机在多数情况下仍能维持起部分功能,不回因为感染上病毒而使整台计算机不能使用。计算机病毒设计的精巧之处也在这里。5计算机病毒的潜伏性一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作。潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大。潜伏性通常表现以下两个方面: 病毒程序不用专门的检测程序是检查不出来的,一旦得到运行机会就繁殖、扩散,继续为害。 计算机病毒中往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做其他的破坏,只有当触发条件满足时,才会激活病毒的发作模块而出现中毒的症状。6计算机病毒的可触发性计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性
