【正文】 IMAGE_SECTION_HEADER ENDS *Name1字段 Name1字段定義了節(jié)的名稱，字段的長度為 8個(gè)字節(jié)。 *VirtualSize字段 代表節(jié)的大小，這是節(jié)的數(shù)據(jù)在沒有進(jìn)行對齊處理前的實(shí)際大小。 *VirtualAddress字段 指出節(jié)被裝載到內(nèi)存中后的偏移地址，這是一個(gè) RVA地址。這個(gè)地址是按照內(nèi)存頁對齊的。 *PointerToRawData字段 指出節(jié)在磁盤文件中的所處的位置。這個(gè)數(shù)值是從文件頭開始算起的偏移量。 *SizeOfRawData字段 指出節(jié)在磁盤文件中所占的空間大小，這個(gè)數(shù)值等于VirtualSize字段的值在進(jìn)行文件對齊處理以后的大小。 *Characteristics字段 這是節(jié)的屬性標(biāo)志字段，共 32位，其中的不同數(shù)據(jù)位代表了不同的屬性，這些數(shù)據(jù)位組合起來描述了節(jié)的屬性。 （ 3） RVA和文件偏移的轉(zhuǎn)換 RVA是相對虛擬地址（ Relative Virtual Address）的縮寫，顧名思義，它是一個(gè)“相對”地址，也可以說是“偏移量”， PE文件的各種數(shù)據(jù)結(jié)構(gòu)中涉及地址的字段大部分都是以 RVA表示的。 PE 文件映像 內(nèi)存映像 低端地址 高端地址 rs rc 節(jié) d a ta 節(jié) rd a ta 節(jié) te x t 節(jié) 節(jié)表 PE 文件頭 DOS 塊 DOS 文件頭 rd a ta 節(jié) te x t 節(jié) 節(jié)表 PE 文件頭 DOS 塊 DOS 文件頭 re lo s 節(jié) 文件頭 文件尾 rs rc 節(jié) h M o d u le 00400000h 文件 偏移 = 4 0 0 0 h Da ta Dir RV A = 5 0 0 0 h 00405000h *循環(huán)掃描節(jié)表并得到每個(gè)節(jié)在內(nèi)存中的起始RVA（根據(jù) VirtualAddress字段），并根據(jù)節(jié)的大?。?SizeOfRawData字段）算出節(jié)的結(jié)束 RVA，最后比較判斷目標(biāo) RVA是否落在某個(gè)節(jié)之內(nèi)。 *如果目標(biāo) RVA處于某個(gè)節(jié)之內(nèi)，那么用目標(biāo)RVA減去節(jié)的起始 RVA，這樣就得到了目標(biāo)RVA相對于節(jié)起始地址的偏移量 RVA39。 *在節(jié)表中獲取節(jié)在文件中所處的偏移（ PointerToRawData字段），將這個(gè)偏移值加上上一步得到的 RVA39。值，這才是目標(biāo)在文件中的真正偏移位臵。 實(shí)驗(yàn)環(huán)境 實(shí)驗(yàn)平臺： Windows XP。 相關(guān)軟件： Win32匯編語言開發(fā)環(huán)境（例： MASM32），文本編輯器 （例： UltraEdit）。 實(shí)驗(yàn)準(zhǔn)備 UltraEdit的學(xué)習(xí)與使用。 實(shí)驗(yàn)內(nèi)容 1．修改 PE文件入口地址實(shí)驗(yàn)。 2．在 PE文件中添加新節(jié)。 實(shí)驗(yàn)的分析與討論 本實(shí)驗(yàn)主要是對執(zhí)行文件的二進(jìn)制代碼進(jìn)行操作，難點(diǎn)在于對 PE文件的結(jié)構(gòu)的理解以及對相對虛擬地址（ RVA）的理解和運(yùn)用。在實(shí)驗(yàn)的“修改 PE文件入口地址”部分，著重要求對IMAGE_OPTIONAL_HEADER32結(jié)構(gòu)中AddressOfEntryPoint字段的理解和掌握，相對比較簡單，應(yīng)該比較容易完成。而在實(shí)驗(yàn)的“ PE文件中添加新節(jié)”部分，則不僅要求對 PE文件的結(jié)構(gòu)有更深入的理解，而且需要對匯編調(diào)試分析也有一定的要求，如果讀者在完成這部分實(shí)驗(yàn)時(shí)有困難，可能需要在這些基礎(chǔ)知識上加強(qiáng)學(xué)習(xí)。 PE病毒的變異實(shí)驗(yàn) 實(shí)驗(yàn)?zāi)康? *理解 PE病毒變異原理 *掌握文件的自我變異方法 實(shí)驗(yàn)原理 可變異病毒的變化能力可將其劃分為以下幾類： （ 1）具備普通病毒所具有的基本特性，然而，病毒感染一個(gè)目標(biāo)后，其自身代碼與前一被感染目標(biāo)中的病毒代碼幾乎沒有三個(gè)連續(xù)的字節(jié)是相同的，但這些代碼其相對空間的排列位置是不變動的。一般稱其為 一維變異病毒 。 （ 2）除了具備一維變異病毒的特性外，那些變化的代碼相互間的排列距離（相對空間位置）也是變化的，有的感染文件的字節(jié)數(shù)不定。一般稱其為 二維變異病毒 。 （ 3）具備二維變異病毒的特性，并且能分裂后分別潛藏在幾處，隨便某一處的子病毒被激發(fā)后都能自我恢復(fù)成一個(gè)完整的病毒。病毒在附著體上的空間位置是變化的，即潛藏的位置不定。 實(shí)驗(yàn)環(huán)境 實(shí)驗(yàn)平臺： Windows XP。 相關(guān)軟件： VC++，文本編輯器 （例： UltraEdit）。 實(shí)驗(yàn)準(zhǔn)備 編寫一個(gè) VC++程序用于實(shí)驗(yàn) 實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)的目標(biāo)是在程序運(yùn)行時(shí)改變文件內(nèi)容，我們設(shè)計(jì)的實(shí)驗(yàn)是在程序運(yùn)行時(shí)復(fù)制自身并實(shí)現(xiàn)變異，變異后的程序運(yùn)行時(shí)會將關(guān)鍵字“ ***hello!***”改為“ $$CHANGED!$$”。 實(shí)驗(yàn)分析與討論 本實(shí)驗(yàn)是在程序正常運(yùn)行時(shí)改變程序本身的內(nèi)容以達(dá)到自我變異的目的，實(shí)驗(yàn)的難點(diǎn)在于選擇變異的關(guān)鍵字（本例為“ ***hello!***”），變異的條件（本例在點(diǎn)擊按鍵“點(diǎn)擊變異”時(shí)）以及發(fā)生變異的時(shí)機(jī)（本例在進(jìn)行自我復(fù)制時(shí)修改緩存內(nèi)容）。由于本例是對緩存進(jìn)行操作（數(shù)組操作），因此必須對數(shù)組的內(nèi)容有充分的了解。在添加語句時(shí)應(yīng)注意添加的位臵，添加后也應(yīng)再次對文件內(nèi)容進(jìn)行核實(shí)，再次確定修改內(nèi)容的位臵的正確性。 多進(jìn)程自保護(hù)病毒實(shí)驗(yàn) 實(shí)驗(yàn)?zāi)康? *了解進(jìn)程的相關(guān)概念和原理 *了解病毒自保護(hù)的原理 *掌握進(jìn)程之間相互掃描的方法 *掌握在一個(gè)進(jìn)程中開啟其他進(jìn)程的方法 實(shí)驗(yàn)原理 1．進(jìn)程的定義和特征 進(jìn)程 （ Process）是一個(gè)具有一定獨(dú)立功能的程序在一個(gè)數(shù)據(jù)集上的一次動態(tài)執(zhí)行過程。當(dāng)你運(yùn)行一個(gè)程序，你就啟動了一個(gè)進(jìn)程。進(jìn)程具有動態(tài)性、獨(dú)立性、并發(fā)性和結(jié)構(gòu)化等重要特征。 動態(tài)性 是指進(jìn)程具有動態(tài)的地址空間。 獨(dú)立性 是指各進(jìn)程的地址空間相互獨(dú)立。 并發(fā)性 也稱為異步性，是指從宏觀上看，各個(gè)進(jìn)程是同時(shí)獨(dú)立執(zhí)行的。 結(jié)構(gòu)化 是指進(jìn)程空間的結(jié)構(gòu)化劃分。 2．進(jìn)程與程序的關(guān)系 進(jìn)程是動態(tài)的，而程序是靜態(tài)的。 程序是有序代碼的集合，進(jìn)程是程序的執(zhí)行。 進(jìn)程是暫時(shí)的，程序是永久的 。 進(jìn)程有一定的生命期，是一個(gè)狀態(tài)變化的過程。而程序是指令的集合，可以長期保存，本身無“運(yùn)動”的含義。 進(jìn)程和程序的組成不同。 進(jìn)程包括程序、數(shù)據(jù)和進(jìn)程控制塊（即進(jìn)程狀態(tài)信息）。 進(jìn)程與程序是密切相關(guān)的 。 一個(gè)程序可以對應(yīng)多個(gè)進(jìn)程，但一個(gè)進(jìn)程只能對應(yīng)一個(gè)程序。進(jìn)程可以創(chuàng)建其他進(jìn)程，而程序并不能形成新的程序。 3．進(jìn)程的描述 進(jìn)程控制塊（ Process Control Block， PCB）是由操作系統(tǒng)維護(hù)的用來記錄進(jìn)程相關(guān)信息的數(shù)據(jù)結(jié)構(gòu)。 一般進(jìn)程控制塊的內(nèi)容都包括以下幾個(gè)部分： 進(jìn)程描述信息 ，包括進(jìn)程標(biāo)識符（ process ID）、進(jìn)程名（通常是進(jìn)程所對應(yīng)的可執(zhí)行文件名）、用戶標(biāo)識符（ user ID）、進(jìn)程組（ process group）和父進(jìn)程號等。 進(jìn)程控制信息 ，包括當(dāng)前進(jìn)程狀態(tài)、優(yōu)先級、代碼執(zhí)行入口地址、程序的外存地址、運(yùn)行統(tǒng)計(jì)信息（執(zhí)行時(shí)間、頁面調(diào)度）、進(jìn)程阻塞原因和通信說明等。 資源占用信息 ，是指進(jìn)程占用的系統(tǒng)資源列表，包括本進(jìn)程已分得的外設(shè)類別、數(shù)量、共享段的起始地址與長度等各種資源信息以及本進(jìn)程正在申請的資源名稱等。 現(xiàn)場保護(hù)結(jié)構(gòu) ，用于保留進(jìn)程暫停時(shí)的斷點(diǎn)信息以便重新運(yùn)行時(shí)恢復(fù)，主要是保存寄存器值。 4．進(jìn)程的狀態(tài)轉(zhuǎn)換 退出 運(yùn)行 就緒 提交 調(diào)度 超時(shí) 釋放 創(chuàng)建 就緒 運(yùn)行 退出 阻塞 （ 1）運(yùn)行狀態(tài) 進(jìn)程占用處理器資源，處于此狀態(tài)的進(jìn)程的數(shù)目小于等于處理器的數(shù)目。 （ 2）就緒狀態(tài) 進(jìn)程已獲得除處理器以外的所需資源，等待分配處理器資源。 （ 3）阻塞狀態(tài) 由于進(jìn)程等待 I/O操作或進(jìn)程同步等條件而暫停運(yùn)行時(shí)處于阻塞狀態(tài)。在滿足條件之前，即使把處理器分配給該進(jìn)程，進(jìn)程也是無法執(zhí)行的。 （ 4）創(chuàng)建狀態(tài) 進(jìn)程正在創(chuàng)建過程中，還不能運(yùn)行。 （ 5）退出狀態(tài) 進(jìn)程已經(jīng)結(jié)束運(yùn)行，回收除進(jìn)程控制塊之外的其他資源，并讓其他進(jìn)程從進(jìn)程控制塊中收集有關(guān)信息。 5．病毒通過創(chuàng)建多個(gè)進(jìn)程實(shí)現(xiàn)自保護(hù)的原理 必須通過 API鉤子技術(shù)，通過建立一個(gè)后臺的系統(tǒng)鉤子，攔截 PSAPI的 EnumProcessModules 等相關(guān)的函數(shù)來實(shí)現(xiàn)對進(jìn)程和服務(wù)的遍歷調(diào)用的控制。當(dāng)檢測到進(jìn)程 ID（ PID）為病毒進(jìn)程的時(shí)候直接跳過，從而不在系統(tǒng)進(jìn)程列表中顯示病毒進(jìn)程，這樣就實(shí)現(xiàn)了進(jìn)程的隱藏。 實(shí)驗(yàn)環(huán)境 安裝 Windows XP操作系統(tǒng)和 Visual C++的PC機(jī)一臺。 實(shí)驗(yàn)準(zhǔn)備 1．模擬病毒代碼的編寫 2．主要結(jié)構(gòu)體與函數(shù)說明 （ 1） PROCESSENTRY32結(jié)構(gòu) （ 2） CreateToolhelp32Snapshot函數(shù) （ 3） Process32First和 Process32Next函數(shù) （ 4） WinExec函數(shù) 3．進(jìn)程之間的關(guān)系 實(shí)驗(yàn)內(nèi)容 1．源程序的編譯 2．模擬病毒的執(zhí)行 3．模擬病毒的自保護(hù)測試 實(shí)驗(yàn)分析與討論 本實(shí)驗(yàn)的重點(diǎn)和難點(diǎn)是正確使用系統(tǒng)API函數(shù) CreateToolhelp32Snapshot來獲取系統(tǒng)所有進(jìn)程快照和對進(jìn)程快照儲存結(jié)構(gòu) PROCESSENTRY32的有效訪問，以及掌握直接通過運(yùn)行程序來開啟進(jìn)程的方法。掌握了這些知識點(diǎn)，就可以靈活運(yùn)用多進(jìn)程方法來實(shí)現(xiàn)病毒的自保護(hù)。 病毒的線程注入實(shí)驗(yàn) 實(shí)驗(yàn)?zāi)康? *理解進(jìn)程和線程的概念，兩者的聯(lián)系與區(qū)別 *了解進(jìn)程隱藏的技術(shù) *掌握使用遠(yuǎn)程線程注入的技術(shù)實(shí)現(xiàn)進(jìn)程隱藏 實(shí)驗(yàn)原理 線程是操作系統(tǒng)分配處理器時(shí)間的基本單位，一個(gè)線程可以看成是一個(gè)執(zhí)行單元，它負(fù)責(zé)執(zhí)行包含在進(jìn)程地址空間中的代碼。 系統(tǒng)中可以同時(shí)存在多個(gè)進(jìn)程，每個(gè)進(jìn)程中同時(shí)又可以有多個(gè)線程在執(zhí)行，為了使所有進(jìn)程中的線程都能夠“同時(shí)”運(yùn)行，操作系統(tǒng)為每個(gè)線程輪流分配時(shí)間片，當(dāng)輪到一個(gè)線程執(zhí)行的時(shí)候，系統(tǒng)將線程的程序寄存器值恢復(fù)回去并開始執(zhí)行，當(dāng)時(shí)間片結(jié)束的時(shí)候，系統(tǒng)打斷線程的執(zhí)行，將線程當(dāng)前的寄存器環(huán)境保存下來并切換到另一個(gè)線程中去執(zhí)行，如此循環(huán)。 實(shí)驗(yàn)環(huán)境 實(shí)驗(yàn)平臺： Windows XP。 相關(guān)軟件： Win32匯編語言開發(fā)軟件 （例： MASM32），匯編級分析調(diào)試器 （例： Ollydbg）。 實(shí)驗(yàn)準(zhǔn)備 1． VirtualAllocEx函數(shù) 2． CreateRemoteThread函數(shù) 實(shí)驗(yàn)內(nèi)容 實(shí)驗(yàn)的第一步就是設(shè)計(jì)遠(yuǎn)程線程使用的代碼，代碼中必須包括一個(gè)線程函數(shù)作為遠(yuǎn)程線程執(zhí)行的入口，在線程函數(shù)中必須完成所有所需 DLL的裝入工作和 API函數(shù)地址的獲取工作，然后調(diào)用創(chuàng)建窗口的主程序。 第二步就是修改所有訪問全局變量的代碼，以解決重定位問題。 實(shí)驗(yàn)分析與討論 本實(shí)驗(yàn)使用遠(yuǎn)程線程注入的技術(shù)實(shí)現(xiàn)進(jìn)程隱藏，我們用 Win32匯編語言實(shí)現(xiàn)了遠(yuǎn)程線程注入，代碼中實(shí)現(xiàn)了可重定位調(diào)用 Win32 API函數(shù)，并且運(yùn)用了代碼自定位等技術(shù)手段?？傮w來說，這個(gè)實(shí)驗(yàn)的難度較大，代碼量也相對較多，對于初學(xué)者來說，需要慢慢理解相關(guān)概念，逐步掌握這些技術(shù)。 PE文件自免疫防病毒實(shí)驗(yàn) 實(shí)驗(yàn)?zāi)康? *復(fù)習(xí)一般病毒的感染方式 *鞏固 PE文件的結(jié)構(gòu) *掌握使用校驗(yàn)和方式自免疫防范 PE病毒的方法 實(shí)驗(yàn)原理 本實(shí)驗(yàn)主要運(yùn)用了校驗(yàn)和的方法防范 PE病毒，因此我們需要先了解一些計(jì)算機(jī)病毒校驗(yàn)和法診斷的原理。該方法首先需要計(jì)算正常文件的校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用前或文件使用過程中定期地檢查文件內(nèi)容，根據(jù)文件內(nèi)容算出校驗(yàn)和并比較與原來保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否感染，這種方法既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。 實(shí)驗(yàn)環(huán)境 實(shí)驗(yàn)平臺： Windows XP。 相關(guān)軟件： VC++，文本編輯器（例： UltraEdit）。 實(shí)驗(yàn)準(zhǔn)備 本實(shí)驗(yàn)使用前面 “ PE病毒的變異實(shí)驗(yàn)”中實(shí)驗(yàn)準(zhǔn)備時(shí)的 VC++程序 ，將其按鈕名稱修改為“自我校驗(yàn)并復(fù)制到 c:”，將對話框內(nèi)容修改為“該程序演示自我校驗(yàn)并復(fù)制”。 實(shí)驗(yàn)內(nèi)容 本實(shí)驗(yàn)的目的是在程序運(yùn)行時(shí)首先檢驗(yàn)文件中幾處重要內(nèi)容是否被修改，這幾處內(nèi)容是： PE文件入口地址、節(jié)表、節(jié)間空余部分以及語句間的空余部分。因此，我們需要先確定這幾處內(nèi)容的具體位臵。 實(shí)驗(yàn)分析與討論 本實(shí)驗(yàn)的目的在于程序運(yùn)行前進(jìn)行校驗(yàn)，校驗(yàn)成功程序正常運(yùn)行，否則