【正文】 RVA。正有用的域。 PointerToSymbolTable dd ? 映像文件頭映像文件頭n 該結(jié)構(gòu)域包含了關(guān)于該結(jié)構(gòu)域包含了關(guān)于 PE文件物理分布的信文件物理分布的信息，息， 比如節(jié)數(shù)目、文件執(zhí)行機(jī)器等。競爭力之一。 n 還有，病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文還有，病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文件，但實(shí)際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可件，但實(shí)際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可以實(shí)現(xiàn)感染以實(shí)現(xiàn)感染 Windows下的下的 .EXE、 .DLL、 .SCR等文件。 “中國黑客中國黑客 ”病毒的特點(diǎn)病毒的特點(diǎn)n 很多反病毒軟件一般都是直接修改會引起病毒自動加載的注冊表選項(xiàng)很多反病毒軟件一般都是直接修改會引起病毒自動加載的注冊表選項(xiàng)，但是它沒有注意到這個病毒馬上又將這個值改回去了?！爸袊诳椭袊诳?”介紹介紹n 2023年年 6月月 6日，日， “中國黑客中國黑客 ”病毒出現(xiàn)，它發(fā)明了病毒出現(xiàn)，它發(fā)明了全球首創(chuàng)的全球首創(chuàng)的 “三線程三線程 ”技術(shù)。n 在郵件內(nèi)部存放發(fā)送信息的一部分，這些變種病在郵件內(nèi)部存放發(fā)送信息的一部分，這些變種病毒會偽造虛假信息，掩蓋病毒的真實(shí)來源。病毒的傳播途徑病毒的傳播途徑n 病毒傳播：病毒傳播：n 1）郵件：從兩種渠道獲取郵件地址：）郵件：從兩種渠道獲取郵件地址：n 搜索下列文件：搜索下列文件： sho*., get*., hot*., *.htm并將郵件地址拷貝到并將郵件地址拷貝到%Windows%\sc??.dll (其中？代表隨機(jī)的數(shù)字或字母其中？代表隨機(jī)的數(shù)字或字母 )n 搜索所有驅(qū)動器，尋找搜索所有驅(qū)動器，尋找 *.wab文件（文件（ Windows地址簿）并拷貝其中的地址簿）并拷貝其中的郵件地址。（北美洲）n 2023年年 9月月 18日晚上，在日本、香港、南日晚上，在日本、香港、南韓、新加坡和中國都收到了受到感染的報韓、新加坡和中國都收到了受到感染的報告。n 該病毒不僅傳播速度快、危害性強(qiáng)，而且自我繁殖能該病毒不僅傳播速度快、危害性強(qiáng)，而且自我繁殖能力更是位居各大病毒之首。個病毒線程。 紅色代碼的特點(diǎn)紅色代碼的特點(diǎn)計(jì)算機(jī)病毒的發(fā)展過程計(jì)算機(jī)病毒的發(fā)展過程n 7月月 31日，格林尼治時間午夜整點(diǎn)，日，格林尼治時間午夜整點(diǎn)， “紅色紅色代碼代碼 II ”爆發(fā)，在全球大面積蔓延爆發(fā)，在全球大面積蔓延 。譬如，紅色代碼，藍(lán)色代碼、求職者病毒、尼姆紅色代碼，藍(lán)色代碼、求職者病毒、尼姆達(dá)（達(dá)（ Nimda）、）、 FUN_LOVE，最近還在流，最近還在流行的新歡樂時光等等。這個病毒屬于 vbs腳本病毒，腳本病毒，可以通過可以通過 html， irc， 進(jìn)行大量的傳進(jìn)行大量的傳播。n 宏病毒的出現(xiàn)，代表有美麗莎宏病毒的出現(xiàn)，代表有美麗莎 ,臺灣一號等臺灣一號等n 病毒生產(chǎn)機(jī)現(xiàn)身，病毒生產(chǎn)機(jī)現(xiàn)身， 1996年下半年在國內(nèi)終年下半年在國內(nèi)終于發(fā)現(xiàn)了于發(fā)現(xiàn)了 “G IVP、 VCL”三種三種 “病毒生產(chǎn)機(jī)病毒生產(chǎn)機(jī)軟件軟件 ” 計(jì)算機(jī)病毒的發(fā)展過程計(jì)算機(jī)病毒的發(fā)展過程 Inter的廣泛應(yīng)用，激發(fā)了病毒的活力。n 很容易被很容易被 debug工具跟蹤工具跟蹤這些病毒中，稍微有點(diǎn)對抗反病毒手段的只有這些病毒中，稍微有點(diǎn)對抗反病毒手段的只有 Yankee Doole病毒，當(dāng)它發(fā)現(xiàn)你用病毒，當(dāng)它發(fā)現(xiàn)你用 Debug工具跟蹤它的時候工具跟蹤它的時候，它會自動從文件中消失。這就是最早在世界上流行的第一個真正的導(dǎo)區(qū)。程序。n 1988年至年至 1989年，我國也相繼出現(xiàn)了能感染硬盤年，我國也相繼出現(xiàn)了能感染硬盤和軟盤引導(dǎo)區(qū)的和軟盤引導(dǎo)區(qū)的 Stoned（石頭）病毒，該病毒替（石頭）病毒，該病毒替代碼中有明顯的標(biāo)志代碼中有明顯的標(biāo)志 “Your Pc is now Stoned?。?”。節(jié)數(shù)，使人看起來文件的大小沒有什么變化。次一次的巨大災(zāi)難。負(fù)荷劇增。被攻擊的電腦中萬臺。紅色代碼紅色代碼 II 特點(diǎn)特點(diǎn)n 具有紅色代碼的特點(diǎn)具有紅色代碼的特點(diǎn)n 可以攻擊任何語言的系統(tǒng)。地址。已有五種新變種相繼粉墨登場，作惡不可謂不大。（歐洲）被迫關(guān)掉服務(wù)器。）共享驅(qū)動器：搜索所有共享驅(qū)動器將蠕蟲復(fù)制到該驅(qū)動器中。對一些殺毒軟件進(jìn)行攻擊。主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件。播，或通過局域網(wǎng)傳播，這一點(diǎn)與求職信病毒非常相似。 “蠕蟲蠕蟲 ”的特征是快速地不斷復(fù)制自身，以求在最短的時的特征是快速地不斷復(fù)制自身，以求在最短的時間內(nèi)傳播到最大范圍。）。的簡稱。 NumberOfSymbols dd ? 包含了 PE文件的邏輯分布信息。 它是相它是相 對對 虛虛 擬擬 空空 間間 里的一個地里的一個地址址 。行。的粒度。映像體的尺寸。每個 結(jié)結(jié) 構(gòu)構(gòu) 給給 出一個重要數(shù)據(jù)出一個重要數(shù)據(jù) 結(jié)結(jié) 構(gòu)的構(gòu)的 RVA，比如引入地址表等。節(jié)表結(jié)構(gòu)又命名為 IMAGE_SECTION_HEADER。比較常見的有：。未初始化的數(shù)據(jù)節(jié)未初始化的數(shù)據(jù)節(jié)n 這個節(jié)的名稱一般叫這個節(jié)的名稱一般叫 .bbs。結(jié)構(gòu)如下：結(jié)構(gòu)。可以以此判斷數(shù)組的結(jié)束。等。的資源。如：用映入函數(shù)之用。存中的真正地址。IMAGE_DATA_DIRECTORY包含有兩個域，如包含有兩個域，如下：下： IMAGE_DATA_DIRECTORY VitualAddress DD? Size DD? IMAGE_DATA_DIRECTORY ENDS節(jié)表節(jié)表n 節(jié)表其實(shí)就是緊挨著節(jié)表其實(shí)就是緊挨著 PE header 的一結(jié)的一結(jié)構(gòu)數(shù)組。的文件偏移量。若版本。若。的。這里只介紹那些真正有用的域。 Machine WORD ? 字節(jié)中。n 病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分n 基于分布式通信的病毒很可能在不久即將出現(xiàn)基于分布式通信的病毒很可能在不久即將出現(xiàn)n 未來病毒與反病毒之間比的就是速度，而增強(qiáng)對新未來病毒與反病毒之間比的就是速度，而增強(qiáng)對新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競爭力之一。能與傳播方式很快就可以加上。保證自己下次啟動時拿到控制權(quán)。的情況。的警惕性。 n 直接經(jīng)濟(jì)損失：直接經(jīng)濟(jì)損失： SirCam（北美洲）受到感染。帶來不可估量的經(jīng)濟(jì)損失。n 未感染則注冊未感染則注冊 Atom并創(chuàng)建并創(chuàng)建 300個病毒線程。址轉(zhuǎn)移到另外一個地址，才幸免于難。譬如，再后來就出現(xiàn)有更多的網(wǎng)絡(luò)蠕蟲。這個病毒屬于的經(jīng)濟(jì)損失。中傳染。訪問文件的日期得到更新。計(jì)算機(jī)病毒的發(fā)展過程計(jì)算機(jī)病毒的發(fā)展過程n 到了到了 20世紀(jì)世紀(jì) 80年代后期，巴基斯坦有兩個以編軟年代后期，巴基斯坦有兩個以編軟件為生的兄弟（也就是現(xiàn)在的程序員），他們?yōu)榧樯男值埽ㄒ簿褪乾F(xiàn)在的程序員），他們?yōu)榱舜驌裟切┍I版軟件的使用者，設(shè)計(jì)出了一個名了打擊那些盜版軟件的使用者，設(shè)計(jì)出了一個名為為 “巴基斯坦