windows pe病毒有哪些(windows pe中病毒)

人厉害会出名，病毒恶心也会出名，那么著名的电脑病毒都有哪些呢?下面由我给你做出详细的著名的电脑病毒介绍!希望对你有帮助!著名的电脑病毒1：系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。著名的电脑病毒2：蠕虫病毒蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件) 等。著名的电脑病毒3：木马病毒、黑客病毒木马病毒其前缀是:Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。著名的电脑病毒4：脚本病毒脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)--可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。著名的电脑病毒5：宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是:Macro，第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是:Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如:著名的美丽莎(Macro.Melissa)。著名的电脑病毒6：后门病毒后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。著名的电脑病毒7：病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。著名的电脑病毒8：破坏性程序病毒破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。著名的电脑病毒9：玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。著名的电脑病毒10：捆绑机病毒

PE病毒是指所有感染Windows下PE文件格式文件的病毒.PE病毒大多数采用Win32汇编编写.PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.只有在PE病毒中,我们才能真正感受到高超的病毒技术.编写Win32病毒的几个关键Api函数的获取不能直接引用动态链接库需要自己寻找api函数的地址,然后直接调用该地址一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.病毒没有.data段,变量和数据全部放在.code段编写Win32病毒的几个关键偏移地址的重定位Call deltadelta: pop ebpsub ebp,offset delta那么变量var1的真正偏移地址为:var1+ebp对PE文件格式的了解编写Win32病毒的几个关键病毒如何感染其他文件在文件中添加一个新节该新节中添加病毒代码和病毒执行后的返回Host程序的代吗修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的节,以便程序运行后先执行病毒代码.PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中等等,这里不在一一叙述.PE文件格式一览Section nSection ...Section 2Section 1Section tablePE headerDOS stubDOS MZ headerPE headerPe header 由三部分组成字串"PE\0\0"(Signature)映像文件头(FileHeader)可选映像头(OptionalHeader)字串"PE\0\0"Signature 一dword类型,值为50h, 45h, 00h, 00h(PE\0\0). 本域为PE标记,我们可以此识别给定文件是否为有效PE文件.这个字串在文件中的位置(e_lfanew),可以在DOS程序头中找到它的指针,它占用四个字节,位于文件开始偏移3CH字节中.映像文件头该结构域包含了关于PE文件物理分布的信息, 比如节数目,文件执行机器等.它实际上是结构IMAGE_FILE_HEADER的简称.映像文件头结构IMAGE_FILE_HEADER STRUCT___ Machine WORD___ NumberOfSections WORD___ TimeDateStamp dd___ PointerToSymbolTable dd___ NumberOfSymbols dd___ SizeOfOptionalHeader WORD___ Characteristics WORDIMAGE_FILE_HEADER ENDS映像文件头的基本信息关于文件信息的标记,比如文件是exe还是dll2Characteristics *7可选头的大小2SizeOfOptionalHeader6符号数目4NumberOfSymbols5COFF符号表的偏移4PointerToSymbleTable4生成该文件的时间4TimeDataStamp3文件中节的个数2NumberOfSection **2机器类型,x86为14ch2Machine *1描述 大小(字节)名字 顺序 可选映像头optional header 结构是 IMAGE_NT_HEADERS 中的最后成员.包含了PE文件的逻辑分布信息.该结构共有31个域,一些是很关键,另一些不太常用.这里只介绍那些真正有用的域.这儿有个关于PE文件格式的常用术语: RVARVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h.每个RVA都是相对于模块的起始VA的.可选映像头文件中节对齐的粒度.FileAlignment内存中节对齐的粒度.SectionAlignmentPE文件的优先装载地址.比如,如果该值是400000h,PE装载器将尝试把文件装到虚拟地址空间的400000h处.若该地址区域已被其他模块占用,那PE装载器会选用其他空闲地址.ImageBasePE装载器准备运行的PE文件的第一个指令的RVA.若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行.AddressOfEntryPoint *描述 名字 可选映像头NT用来识别PE文件属于哪个子系统.Subsystem一IMAGE_DATA_DIRECTORY 结构数组.每个结构给出一个重要数据结构的RVA,比如引入地址表等.DataDirectory所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸.可以以此值作为PE文件第一节的文件偏移量.SizeOfHeaders内存中整个PE映像体的尺寸.SizeOfImagewin32子系统版本.若PE文件是专门为Win32设计的,该子系统版本必定是4.0否则对话框不会有3维立体感.MajorSubsystemVersionMinorSubsystemVersion描述 名字 DataDirectory数据目录一个IMAGE_DATA_DIRECTORY数组,里面放的是这个可执行文件的一些重要部分的RVA和尺寸,目的是使可执行文件的装入更快,数组的项数由上一个域给出.IMAGE_DATA_DIRECTORY包含有两个域,如下:IMAGE_DATA_DIRECTORYVitualAddress DDSize DDIMAGE_DATA_DIRECTORY ENDS节表 节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER.结构中放的是一个节的信息,如名字,地址,长度,属性等.IMAGE_SECTION_HEADER本节原始数据在文件中的位置4PointerToRawData *5本节的原始尺寸4SizeOfRawData *4这个值+映像基地址=本节在内存中的真正地址.OBJ中无意义.4Virtual *3OBJ文件用作表示本节物理地址EXE文件中表示节的真实尺寸4PhysicalAddress或VirtualSize2节名 8Name *1描述 大小(字节)名字 顺序 IMAGE_SECTION_HEADER节属性4Characteristics *10本节在行号表中的行号数目2NumberOfLinenumbers9本节要重定位的数目2NumberOfRelocations8行号偏移4PointerToLinenumbers7OBJ中表示该节重定位信息的偏移EXE文件中无意义4PointerToRelocations6描述 大小(字节)名字 顺序 节 "节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有:代码节已初始化的数据节未初始化的数据节资源节引入函数节引出函数节代码节代码节一般名为.text或CODE,该节含有程序的可执行代码.每个PE文件都有代码节在代码节中,还有一些特别的数据,是作为调用映入函数之用.如:Call MessageBoxA的调用,反汇编后该指令被换为call 0040101A,而地址0040101A仍在.text中,它放有一个跳转指令jmp dword ptr[0040304c],即这条跳转指令的目的地址处于.idata节中的0040304C处,其中放的才是MessageBoxA的真正地址,如下图:已初始化的数据节这个节一般取名为.data或DATA已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!".未初始化的数据节这个节的名称一般叫.bbs.这个节里放有未初始化的全局变量和静态变量.资源节资源节一般名为.rsrc这个节放有如图标,对话框等程序要用到的资源.资源节是树形结构的,它有一个主目录,主目录下又有子目录,子目录下可以是子目录或数据.都是一个IMAGE_RESOURCE_DIRECTORY结构.结构如下:IMAGE_RESOURCE_DIRECTORY 结构以ID标识的资源数2NumberOfldEntries6以名字标识的资源数2NumberOfNamedEntries5次版本号2MinorVersion4主版本号2MajorVersion3资源生成时间4TimeDateStamp2通常为04Characteritics1描述 大小(字节)名字 顺序 引入函数节一个引入函数是被某模块调用的但又不在调用者模块中的函数这个节一般名为.idata,也叫引入表.它包含从其它(系统或第三方写的)DLL中引入的函数,例如user32.dll,gdi32.dll等.它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组.这个数组的长度不定,但他的最后一项是全0,可以以此判断数组的结束.引出函数节什么是引出函数节引出函数节是用来向系统提供导出函数的名称,序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程.了解引出函数节对于学习病毒来说,是极为重要的.Api函数地址的获取与引出函数节息息相关.引出函数节通过Api函数名查找其地址(1)定位到PE文件头(2)从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录,得到导出表的地址.(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环.(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数.(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值,假如该值为m.(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址. 满意请采纳
PE病毒是指所有感染Windows下PE文件格式文件的病毒. 你可以下载一款杀毒软件杀毒，比如腾讯电脑管家 打开腾讯电脑管家--闪电杀毒--全盘扫描--完成 腾讯电脑管家应用了具有“自学习能力”的自研第二代“鹰眼”引擎，业界首创将CPU虚拟执行技术运用到杀毒软件中， 能够根除顽固病毒、大幅度提升深度查杀能力，并且大大降低了杀毒软件对用户电脑系统资源的占用率。 同时，沿用“4+1”多引擎架构保证了腾讯电脑管家病毒查杀的稳定性。 误杀率也极低，深受广大用户的认可。
PE病毒，又称Win32 PE病毒，或简称Win32病毒。它指所有感染Windows下PE文件格式文件的病毒。因为它通常采用Win32汇编编写，而且格式为PE，因此得名。建议您使用腾讯电脑管家杀毒软件，全面的查杀病毒程序，彻底的清理干净，提供快速扫描、全盘扫描和自定义扫描三种扫描方式：快速扫描针对电脑病毒易感区进行快速扫描，快速直达“病根”；全盘扫描对用户电脑进行全方位查杀，病毒木马无处逃；自定义扫描让用户能根据自己的需求进行扫描，兼具人性化。两大云查杀引擎和趋势本地查杀引擎“三强联合”，超强查杀电脑中存在的顽固木马，能彻底清洁电脑环境，清除电脑病毒 希望可以帮到您了

PE病毒是指所有感染Windows下PE文件格式文件的病毒。 PE病毒大多数采用Win32汇编编写。PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的。 只有在PE病毒中,我们才能真正感受到高超的病毒技术。
用杀毒软件处理，现在用的比较多的就是360和火绒的

PE 的意思就是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式 PE病毒是指所有感染Windows下PE文件格式文件的病毒. 一般PE病毒要在安全模式下查杀才能清除，但如在安全模式下同样杀不掉的话，建议最好下个木马查杀器如冰刃等来查杀，有些杀不掉的PE病毒大多为Trojan（特洛伊）木马病毒．

一个利用P2P共享目录及MyDoom留的后门进行传播的蠕虫病毒 病毒行为：该病毒运行后将自己复制到%system%目录下。并在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中加入自己的键值：KernelFaultChk以达到随系统启动的目的。 P2P共享目录传播：病毒将自己复制到p2p软件的共享目录中，文件名为一些软件的破解或序号生成器以诱骗网络用户下载。Windows2003Keygen.exemIRC.v6.12.Keygen.exeNorton.All.Products.KeyMkr.exeF-Secure.Antivirus.Keymkr.exeFlashFXP.v2.1.FINAL.Crack.exeSecureCRTPatch.exeTweakXPProKeyGenerator.exeFRUITYLOOPS.SPYWIRE.FIX.EXEALL.SERIALS.COLLECTION.2003-2004.EXEWinRescue.XP.v1.08.14.exeGoldenHawk.CDRWin.v3.9E.Incl.Keygen.exeBlindWrite.Suite.v4.5.2.Serial.Generator.exeServ-U.allversions.keymaker.exeWinZip.exeWinRar.exeWinAmp5.Crack.exe 利用MyDoom留的后门进行传播：病毒随机扫描MyDoom留的后门端口，并尝试利用该后门将自己复制过去以便去清除Mydoom从而也达到了传播自己的目的。 进程监视：病毒扫描系统进程例表当发现和体内的“黑名单”相符的将结束该进程。avconsol ，apvxdwin ，ackwin32 ，blackice ，blackd ，dv95 ，espwatch ，esafeefinet32 ，ecengine ，f-stopw ，frw ，fp-win ，f-prot95 ，f-prot95 ，f-protfprot ，f-agnt95 ，gibe ，iomon98 ，iface ，icsupp ，icssuppnt ，icmoon ，icmonicloadnt ，icload95 ，ibmavsp ，ibmasn ，iamserv ，iamapp ，kpfw32 ，nvc95 ，nupgradenup大te ，normist ，nmain ，nisum ，navw ，navsched ，navnt ，navlu32 ，navapw32zapro，Document ，readme ，doc ，text ，file ，大ta ，test ，message ，body ，taskmonxsharez_scanner ，BlackIce_Firewall_Enterpriseactivation_crack ，zapSetup_95_693 MS59-56_hotfix ，winamp0 ，NessusScan_pro ，attackXP-6.71.....
修改、破坏系统的关键文件，导致系统崩溃
PE 的意思就是 Portable Executable（可移植的执行体）。 它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的 : 即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。 PE病毒是指所有感染Windows下PE文件格式文件的病毒。