计算机病毒原理(必威体育精装版)探究.pptVIP

未初始化的数据节 这个节的名称一般叫.bbs。 这个节里放有未初始化的全局变量和静态变量。 资源节 资源节一般名为.rsrc 这个节放有如图标、对话框等程序要用到的资源。 资源节是树形结构的，它有一个主目录，主目录下又有子目录，子目录下可以是子目录或数据。 都是一个IMAGE_RESOURCE_DIRECTORY结构。结构如下： IMAGE_RESOURCE_DIRECTORY 结构 顺序 名字 大小（字节） 描述 1 Characteritics 4 通常为0 2 TimeDateStamp 4 资源生成时间 3 MajorVersion 2 主版本号 4 MinorVersion 2 次版本号 5 NumberOfNamedEntries 2 以名字标识的资源数 6 NumberOfldEntries 2 以ID标识的资源数 引入函数节 一个引入函数是被某模块调用的但又不在调用者模块中的函数 这个节一般名为.idata，也叫引入表。 它包含从其它（系统或第三方写的）DLL中引入的函数，例如user32.dll、gdi32.dll等。 它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组。这个数组的长度不定，但他的最后一项是全0，可以以此判断数组的结束。 引出函数节 什么是引出函数节？ 引出函数节是用来向系统提供导出函数的名称、序号和入口地址等信息，以便Windows装载器通过这些信息来完成动态链接的过程。 了解引出函数节对于学习病毒来说，是极为重要的。 Api函数地址的获取与引出函数节息息相关。 引出函数节 通过Api函数名查找其地址 （1）定位到PE文件头 （2）从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录，得到导出表的地址。 （3）从导出表的NumberOfNames字段得到以命名函数的总数，并以这个数字做微循环的次数来构造一个循环。 （4）从AddressOfNames字段指向的函数名称地址表的第一项开始，在循环中将每一项定义的函数名与要查找的函数名比较，如果没有任何一个函数名符合，说明文件中没有指定名称的函数。 （5）如果某一项定义的函数名与要查找的函数名符合，那么记住这个函数名在字符串地址表中的索引值，然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值，假如该值为m。 （6）以m值作为索引值，在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址，当函数被装入内存后，这个RVA值加上模块实际装入的基址(ImageBase)，就得到了函数真正的入口地址。 * hehe 如何防范vbs脚本病毒 1）?? 禁用文件系统对象FileSystemObject 方法：用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32是Windows\System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。 还有一种方法就是在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项，咔嚓即可。 2）?? 卸载Windows Scripting Host 在Windows 98中（NT 4.0以上同理），打开［控制面板］→［添加/删除程序］→［Windows安装程序］→［附件］，取消“Windows Scripting Host”一项。 和上面的方法一样，在注册表中HKEY_CLASSES_ROOT\CLSID\下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项。 3）?? 删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射 点击［我的电脑］→［查看］→［文件夹选项］→［文件类型］，然后删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。 如何防范vbs脚本病毒 4）在Windows目录中，找到WScript.exe，更改名称或者删除，如果你觉得以后有机会用到的话，最好更改名称好了，当然以后也可以重新装上。 5）要彻底防治VBS网络蠕虫病毒，还需设置一下你的浏览器。我们首先打开浏览器，单击菜单栏里“Internet 选项”安全选项卡里的［自定义级别］按钮。把“ActiveX控件及插件”的一切设为禁用，这样就不怕了。呵呵，譬如新欢乐时光的那个ActiveX组件如果不能运行，网络传播这项功能就玩完了。 6） 禁止OE的自动收发邮件功能 如何防范vbs脚本病毒 7）由于蠕虫病毒大多利用文件扩展名作文章，所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“