【正文】 IMAGE_SECTION_HEADER ENDS *Name1字段 Name1字段定義了節(jié)的名稱，字段的長度為 8個字節(jié)。 *VirtualSize字段 代表節(jié)的大小，這是節(jié)的數(shù)據(jù)在沒有進行對齊處理前的實際大小。 *VirtualAddress字段 指出節(jié)被裝載到內(nèi)存中后的偏移地址，這是一個 RVA地址。這個地址是按照內(nèi)存頁對齊的。 *PointerToRawData字段 指出節(jié)在磁盤文件中的所處的位置。這個數(shù)值是從文件頭開始算起的偏移量。 *SizeOfRawData字段 指出節(jié)在磁盤文件中所占的空間大小，這個數(shù)值等于VirtualSize字段的值在進行文件對齊處理以后的大小。 *Characteristics字段 這是節(jié)的屬性標志字段，共 32位，其中的不同數(shù)據(jù)位代表了不同的屬性，這些數(shù)據(jù)位組合起來描述了節(jié)的屬性。 （ 3） RVA和文件偏移的轉(zhuǎn)換 RVA是相對虛擬地址（ Relative Virtual Address）的縮寫，顧名思義，它是一個“相對”地址，也可以說是“偏移量”， PE文件的各種數(shù)據(jù)結構中涉及地址的字段大部分都是以 RVA表示的。 PE 文件映像 內(nèi)存映像 低端地址 高端地址 rs rc 節(jié) d a ta 節(jié) rd a ta 節(jié) te x t 節(jié) 節(jié)表 PE 文件頭 DOS 塊 DOS 文件頭 rd a ta 節(jié) te x t 節(jié) 節(jié)表 PE 文件頭 DOS 塊 DOS 文件頭 re lo s 節(jié) 文件頭 文件尾 rs rc 節(jié) h M o d u le 00400000h 文件 偏移 = 4 0 0 0 h Da ta Dir RV A = 5 0 0 0 h 00405000h *循環(huán)掃描節(jié)表并得到每個節(jié)在內(nèi)存中的起始RVA（根據(jù) VirtualAddress字段），并根據(jù)節(jié)的大小（ SizeOfRawData字段）算出節(jié)的結束 RVA，最后比較判斷目標 RVA是否落在某個節(jié)之內(nèi)。 *如果目標 RVA處于某個節(jié)之內(nèi)，那么用目標RVA減去節(jié)的起始 RVA，這樣就得到了目標RVA相對于節(jié)起始地址的偏移量 RVA39。 *在節(jié)表中獲取節(jié)在文件中所處的偏移（ PointerToRawData字段），將這個偏移值加上上一步得到的 RVA39。值，這才是目標在文件中的真正偏移位臵。 實驗環(huán)境 實驗平臺： Windows XP。 相關軟件： Win32匯編語言開發(fā)環(huán)境（例： MASM32），文本編輯器 （例： UltraEdit）。 實驗準備 UltraEdit的學習與使用。 實驗內(nèi)容 1．修改 PE文件入口地址實驗。 2．在 PE文件中添加新節(jié)。 實驗的分析與討論 本實驗主要是對執(zhí)行文件的二進制代碼進行操作，難點在于對 PE文件的結構的理解以及對相對虛擬地址（ RVA）的理解和運用。在實驗的“修改 PE文件入口地址”部分，著重要求對IMAGE_OPTIONAL_HEADER32結構中AddressOfEntryPoint字段的理解和掌握，相對比較簡單，應該比較容易完成。而在實驗的“ PE文件中添加新節(jié)”部分，則不僅要求對 PE文件的結構有更深入的理解，而且需要對匯編調(diào)試分析也有一定的要求，如果讀者在完成這部分實驗時有困難，可能需要在這些基礎知識上加強學習。 PE病毒的變異實驗 實驗目的 *理解 PE病毒變異原理 *掌握文件的自我變異方法 實驗原理 可變異病毒的變化能力可將其劃分為以下幾類： （ 1）具備普通病毒所具有的基本特性，然而，病毒感染一個目標后，其自身代碼與前一被感染目標中的病毒代碼幾乎沒有三個連續(xù)的字節(jié)是相同的，但這些代碼其相對空間的排列位置是不變動的。一般稱其為 一維變異病毒 。 （ 2）除了具備一維變異病毒的特性外，那些變化的代碼相互間的排列距離（相對空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。一般稱其為 二維變異病毒 。 （ 3）具備二維變異病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復成一個完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。 實驗環(huán)境 實驗平臺： Windows XP。 相關軟件： VC++，文本編輯器 （例： UltraEdit）。 實驗準備 編寫一個 VC++程序用于實驗 實驗內(nèi)容 本實驗的目標是在程序運行時改變文件內(nèi)容，我們設計的實驗是在程序運行時復制自身并實現(xiàn)變異，變異后的程序運行時會將關鍵字“ ***hello!***”改為“ $$CHANGED!$$”。 實驗分析與討論 本實驗是在程序正常運行時改變程序本身的內(nèi)容以達到自我變異的目的，實驗的難點在于選擇變異的關鍵字（本例為“ ***hello!***”），變異的條件（本例在點擊按鍵“點擊變異”時）以及發(fā)生變異的時機（本例在進行自我復制時修改緩存內(nèi)容）。由于本例是對緩存進行操作（數(shù)組操作），因此必須對數(shù)組的內(nèi)容有充分的了解。在添加語句時應注意添加的位臵，添加后也應再次對文件內(nèi)容進行核實，再次確定修改內(nèi)容的位臵的正確性。 多進程自保護病毒實驗 實驗目的 *了解進程的相關概念和原理 *了解病毒自保護的原理 *掌握進程之間相互掃描的方法 *掌握在一個進程中開啟其他進程的方法 實驗原理 1．進程的定義和特征 進程 （ Process）是一個具有一定獨立功能的程序在一個數(shù)據(jù)集上的一次動態(tài)執(zhí)行過程。當你運行一個程序，你就啟動了一個進程。進程具有動態(tài)性、獨立性、并發(fā)性和結構化等重要特征。 動態(tài)性 是指進程具有動態(tài)的地址空間。 獨立性 是指各進程的地址空間相互獨立。 并發(fā)性 也稱為異步性，是指從宏觀上看，各個進程是同時獨立執(zhí)行的。 結構化 是指進程空間的結構化劃分。 2．進程與程序的關系 進程是動態(tài)的，而程序是靜態(tài)的。 程序是有序代碼的集合，進程是程序的執(zhí)行。 進程是暫時的，程序是永久的 。 進程有一定的生命期，是一個狀態(tài)變化的過程。而程序是指令的集合，可以長期保存，本身無“運動”的含義。 進程和程序的組成不同。 進程包括程序、數(shù)據(jù)和進程控制塊（即進程狀態(tài)信息）。 進程與程序是密切相關的 。 一個程序可以對應多個進程，但一個進程只能對應一個程序。進程可以創(chuàng)建其他進程，而程序并不能形成新的程序。 3．進程的描述 進程控制塊（ Process Control Block， PCB）是由操作系統(tǒng)維護的用來記錄進程相關信息的數(shù)據(jù)結構。 一般進程控制塊的內(nèi)容都包括以下幾個部分： 進程描述信息 ，包括進程標識符（ process ID）、進程名（通常是進程所對應的可執(zhí)行文件名）、用戶標識符（ user ID）、進程組（ process group）和父進程號等。 進程控制信息 ，包括當前進程狀態(tài)、優(yōu)先級、代碼執(zhí)行入口地址、程序的外存地址、運行統(tǒng)計信息（執(zhí)行時間、頁面調(diào)度）、進程阻塞原因和通信說明等。 資源占用信息 ，是指進程占用的系統(tǒng)資源列表，包括本進程已分得的外設類別、數(shù)量、共享段的起始地址與長度等各種資源信息以及本進程正在申請的資源名稱等。 現(xiàn)場保護結構 ，用于保留進程暫停時的斷點信息以便重新運行時恢復，主要是保存寄存器值。 4．進程的狀態(tài)轉(zhuǎn)換 退出 運行 就緒 提交 調(diào)度 超時 釋放 創(chuàng)建 就緒 運行 退出 阻塞 （ 1）運行狀態(tài) 進程占用處理器資源，處于此狀態(tài)的進程的數(shù)目小于等于處理器的數(shù)目。 （ 2）就緒狀態(tài) 進程已獲得除處理器以外的所需資源，等待分配處理器資源。 （ 3）阻塞狀態(tài) 由于進程等待 I/O操作或進程同步等條件而暫停運行時處于阻塞狀態(tài)。在滿足條件之前，即使把處理器分配給該進程，進程也是無法執(zhí)行的。 （ 4）創(chuàng)建狀態(tài) 進程正在創(chuàng)建過程中，還不能運行。 （ 5）退出狀態(tài) 進程已經(jīng)結束運行，回收除進程控制塊之外的其他資源，并讓其他進程從進程控制塊中收集有關信息。 5．病毒通過創(chuàng)建多個進程實現(xiàn)自保護的原理 必須通過 API鉤子技術，通過建立一個后臺的系統(tǒng)鉤子，攔截 PSAPI的 EnumProcessModules 等相關的函數(shù)來實現(xiàn)對進程和服務的遍歷調(diào)用的控制。當檢測到進程 ID（ PID）為病毒進程的時候直接跳過，從而不在系統(tǒng)進程列表中顯示病毒進程，這樣就實現(xiàn)了進程的隱藏。 實驗環(huán)境 安裝 Windows XP操作系統(tǒng)和 Visual C++的PC機一臺。 實驗準備 1．模擬病毒代碼的編寫 2．主要結構體與函數(shù)說明 （ 1） PROCESSENTRY32結構 （ 2） CreateToolhelp32Snapshot函數(shù) （ 3） Process32First和 Process32Next函數(shù) （ 4） WinExec函數(shù) 3．進程之間的關系 實驗內(nèi)容 1．源程序的編譯 2．模擬病毒的執(zhí)行 3．模擬病毒的自保護測試 實驗分析與討論 本實驗的重點和難點是正確使用系統(tǒng)API函數(shù) CreateToolhelp32Snapshot來獲取系統(tǒng)所有進程快照和對進程快照儲存結構 PROCESSENTRY32的有效訪問，以及掌握直接通過運行程序來開啟進程的方法。掌握了這些知識點，就可以靈活運用多進程方法來實現(xiàn)病毒的自保護。 病毒的線程注入實驗 實驗目的 *理解進程和線程的概念，兩者的聯(lián)系與區(qū)別 *了解進程隱藏的技術 *掌握使用遠程線程注入的技術實現(xiàn)進程隱藏 實驗原理 線程是操作系統(tǒng)分配處理器時間的基本單位，一個線程可以看成是一個執(zhí)行單元，它負責執(zhí)行包含在進程地址空間中的代碼。 系統(tǒng)中可以同時存在多個進程，每個進程中同時又可以有多個線程在執(zhí)行，為了使所有進程中的線程都能夠“同時”運行，操作系統(tǒng)為每個線程輪流分配時間片，當輪到一個線程執(zhí)行的時候，系統(tǒng)將線程的程序寄存器值恢復回去并開始執(zhí)行，當時間片結束的時候，系統(tǒng)打斷線程的執(zhí)行，將線程當前的寄存器環(huán)境保存下來并切換到另一個線程中去執(zhí)行，如此循環(huán)。 實驗環(huán)境 實驗平臺： Windows XP。 相關軟件： Win32匯編語言開發(fā)軟件 （例： MASM32），匯編級分析調(diào)試器 （例： Ollydbg）。 實驗準備 1． VirtualAllocEx函數(shù) 2． CreateRemoteThread函數(shù) 實驗內(nèi)容 實驗的第一步就是設計遠程線程使用的代碼，代碼中必須包括一個線程函數(shù)作為遠程線程執(zhí)行的入口，在線程函數(shù)中必須完成所有所需 DLL的裝入工作和 API函數(shù)地址的獲取工作，然后調(diào)用創(chuàng)建窗口的主程序。 第二步就是修改所有訪問全局變量的代碼，以解決重定位問題。 實驗分析與討論 本實驗使用遠程線程注入的技術實現(xiàn)進程隱藏，我們用 Win32匯編語言實現(xiàn)了遠程線程注入，代碼中實現(xiàn)了可重定位調(diào)用 Win32 API函數(shù)，并且運用了代碼自定位等技術手段?？傮w來說，這個實驗的難度較大，代碼量也相對較多，對于初學者來說，需要慢慢理解相關概念，逐步掌握這些技術。 PE文件自免疫防病毒實驗 實驗目的 *復習一般病毒的感染方式 *鞏固 PE文件的結構 *掌握使用校驗和方式自免疫防范 PE病毒的方法 實驗原理 本實驗主要運用了校驗和的方法防范 PE病毒，因此我們需要先了解一些計算機病毒校驗和法診斷的原理。該方法首先需要計算正常文件的校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用前或文件使用過程中定期地檢查文件內(nèi)容，根據(jù)文件內(nèi)容算出校驗和并比較與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。 實驗環(huán)境 實驗平臺： Windows XP。 相關軟件： VC++，文本編輯器（例： UltraEdit）。 實驗準備 本實驗使用前面 “ PE病毒的變異實驗”中實驗準備時的 VC++程序 ，將其按鈕名稱修改為“自我校驗并復制到 c:”，將對話框內(nèi)容修改為“該程序演示自我校驗并復制”。 實驗內(nèi)容 本實驗的目的是在程序運行時首先檢驗文件中幾處重要內(nèi)容是否被修改，這幾處內(nèi)容是： PE文件入口地址、節(jié)表、節(jié)間空余部分以及語句間的空余部分。因此，我們需要先確定這幾處內(nèi)容的具體位臵。 實驗分析與討論 本實驗的目的在于程序運行前進行校驗，校驗成功程序正常運行，否則