Windows PE文件病毒分析与清除技巧

"PE文件分析主要涉及Windows系统下可执行文件的病毒分析，特别是对PE文件结构的深入理解，这是进行软件攻防的关键。PE文件，全称为可移植的执行体，是Windows 32位环境下的一种文件格式，源自Unix的COFF（Common Object File Format），并保留了与MS-DOS的兼容性。PE文件的结构分为DOS头、PE头和节区等部分，其中DOS头以'MZ'标识，包含了指向PE头的指针。在不支持PE格式的DOS系统中，DOS头后的DOS stub会给出错误提示并退出。" 本章首先介绍了PE文件的基础知识，包括二进制文件的类型，如exe、dll、scr和sys等，以及文本格式文件，如htm和html。从Windows 2000开始，所有的二进制文件都采用PE格式。由于PE文件的结构清晰且可被病毒利用，因此了解其结构对于分析和清除PE病毒至关重要。 接着，详细阐述了PE文件的结构分析。DOS头包含了一个IMAGE_DOS_HEADER结构，这个结构不仅标识了文件类型，还指明了PE头的位置。当程序在DOS环境下运行时，DOS stub会执行并显示不兼容错误信息。紧随DOS头的是PE头，它包含了大量的信息，如文件属性、入口点地址、节表等。PE头之后是节区，节区是PE文件的核心，包含了程序的代码、数据和资源。 本章还特别提到了CIH病毒作为案例，CIH是一种著名的PE文件病毒感染者，它通过修改PE文件的特定部分来实现感染。此外，为了帮助读者实践，还给出了设计一个清除SD型病毒的专杀工具的例子，这涉及到Masm32编程、MSDN文档查阅以及VC++程序设计技能的应用。 PE文件分析是Windows系统安全领域的重要内容，理解和掌握PE文件的结构对于病毒分析、软件安全防护以及逆向工程等领域具有重要意义。通过学习这一章节，读者将能深入理解PE文件的内部工作机制，从而更好地应对和预防PE文件病毒的威胁。