系統病毒腳本

1. 腳本病毒什麼意思

腳本病毒，其前綴是Script，其共有特性是使用腳本語言編寫，通過網頁進行傳播，如紅色代碼(Script.Redlof)。

2. 病毒分類 腳本病毒是啥意思

系統病毒：
系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件，並通過這些文件進行傳播。如CIH病毒。

你這個是木馬的一種（Trojan），而且是javaScript腳本病毒（Script.JS）

木馬病毒、黑客病毒
木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的共有特性是通過網路或者系統漏洞進入用戶的系統並隱藏，然後向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程式控制制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。

腳本病毒
腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

=======================================================

刪了就好～
有殺毒軟體在就不必太在意～

3. 計算機病毒分為哪幾種

1、木馬病毒。

木馬病毒其前綴是：Trojan，其共有特性以盜取用戶信息為目的。

2、系統病毒。

系統病毒的前綴為：Win32、PE、Win95、W32、W95等。其主要感染windows系統的可執行文件。

3、蠕蟲病毒。

蠕蟲病毒的前綴是：Worm。其主要是通過網路或者系統漏洞進行傳播

4、腳本病毒。

腳本病毒的前綴是：Script。其特點是採用腳本語言編寫。

5、後門病毒。

後門病毒的前綴是：Backdoor。其通過網路傳播，並在系統中打開後門。

6、宏病毒。

其實宏病毒是也是腳本病毒的一種，其利用ms office文檔中的宏進行傳播。

7．破壞性程序病毒。

破壞性程序病毒的前綴是：Harm。其一般會對系統造成明顯的破壞，如格式化硬碟等。

8.、玩笑病毒。

玩笑病毒的前綴是：Joke。是惡作劇性質的病毒，通常不會造成實質性的破壞。

9．捆綁機病毒

捆綁機病毒的前綴是：Binder。這是一類會和其它特定應用程序捆綁在一起的病毒。

這種病毒用它自已的程序意圖加入或取代部分操作系統進行工作，具有很強的破壞力，可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。

良性計算機病毒

良性病毒是指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒為了表現其存在，只是不停地進行擴散，從一台計算機傳染到另一台，並不破壞計算機內的數據。有些人對這類計算機病毒的傳染不以為然，認為這只是惡作劇，沒什麼關系。其實良性、惡性都是相對而言的。良性病毒取得系統控制權後，會導致整個系統和應用程序爭搶CPU的控制權，時時導致整個系統死鎖，給正常操作帶來麻煩。有時系統內還會出現幾種病毒交叉感染的現象，一個文件不停地反復被幾種病毒所感染。例如原來只有10KB存儲空間，而且整個計算機系統也由於多種病毒寄生於其中而無法正常工作。因此也不能輕視所謂良性病毒對計算機系統造成的損害。

源碼型病毒該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經編譯成為合法程序的一部分。

宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，於是宏病毒就會被激活，轉移到計算機上，並駐留在Normal模板上。從此以後，所有自動保存的文檔都會 「感染」上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。 文件型病毒是主要感染可執行文件的病毒，它通常隱藏在宿主程序中，執行宿主程序時，將會先執行病毒程序再執行宿主程序。

傳播方式當宿主程序運行時，病毒程序首先運行，然後駐留在內存中，再伺機感染其它的可執行程序，達到傳播的目的。

4. 電腦中了腳本病毒，該怎麼辦

症狀：只要一開IE，瑞星就彈出發現病毒的窗口，而且怎麼也殺不掉，即使提示已經刪除病毒文件，但是只要IE一有動作，還是沒完沒了的彈出發現病毒的窗口，上網速度變慢. 瑞星病毒監控報告如下： 病毒名稱 路徑 文件 Trojan.DL.VBS.Psyme.cf C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Trojan.DL.VBS.Agent.xge C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Trojan.DL.VBS.Agent.cog C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 352050542296.tmp Hack.Exploit.Script.JS.RealPlayer.b C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\6FEZ6JIN 6[1].gif Trojan.DL.JS.Agent.ldc C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 52039269848.tmp Hack.Exploit.Script.JS.RealPlayer.b C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KD6V8XA3 6[1].gif Trojan.DL.JS.Agent.ldc C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 358853425776.tmp 過程：思路就是找到這些病毒，將其完全刪除。可是在查找病毒時遇到問題，就是在C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\目錄中根本看不到Content.IE5這個文件夾，即使在「我的電腦」-「工具」菜單-「文件夾選項」-「查看」中，選中了「顯示所有文件和文件夾」、取消了「隱藏受保護的操作系統文件」，還是一樣看不到Content.IE5文件夾，難道這個文件夾不存在嗎？不是的。 解決辦法： 1、IE圖標上擊右鍵，屬性，刪除文件，刪除所有離線文件，確定，即清空IE的所有緩存文件。或者，進入C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\這個目錄下，把所有文件都刪除，可能會有1個index文件刪不掉，不用管，把其他的都刪了。 2、進入C:\Documents and Settings\Administrator\Local Settings\Temp\目錄下，把所有文件刪除，肯定會有4、5個文件刪不掉，把其他的能刪的都刪了。 3、最後就是上面說到的看不到Content.IE5文件夾的問題，這樣做：打開我的電腦，在地址欄中，把C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\這個地址粘貼進去，回車，就可以進入這個文件夾中了，把裡面的所有文件夾都刪除。 ok，解決，再打開IE瀏覽網頁不再提示有病毒了。 提示：感染這種病毒，可能是由於瀏覽了一些帶毒的網站，所以不排除再次感染該病毒的可能。因此請及時打全系統的補丁，使用realplayer播放器的用戶更要注意。

5. 什麼是「腳本病毒」

網路的流行，讓我們的世界變得更加美好，但它也有讓人不愉快的時候。當您收到一封主題為「I Love You」的郵件，用興奮得幾乎快發抖的滑鼠去點擊附件的時候；當您瀏覽一個信任的網站之後，發現打開每個文件夾的速度非常慢的時候，您是否察覺病毒已經闖進了您的世界呢？2000年5月4日歐美爆發的「愛蟲」網路蠕蟲病毒。由於通過電子郵件系統傳播，愛蟲病毒在短短幾天內狂襲全球數百萬計的電腦。微軟、Intel等在內的眾多大型企業網路系統癱瘓，全球經濟損失達幾十億美元。而去年爆發的新歡樂時光病毒至今都讓廣大電腦用戶更是苦不堪言。
上面提及的兩個病毒最大的一個共同特點是：使用VBScript編寫。以愛蟲和新歡樂時光病毒為典型代表的VBS腳本病毒十分的猖獗，很重要的一個原因就是其編寫簡單。下面我們就來逐一對VBS腳本病毒的各個方面加以分析：

一、Vbs腳本病毒的特點及發展現狀
VBS病毒是用VB Script編寫而成，該腳本語言功能非常強大，它們利用Windows系統的開放性特點，通過調用一些現成的Windows對象、組件，可以直接對文件系統、注冊表等進行控制，功能非常強大。應該說病毒就是一種思想，但是這種思想在用VBS實現時變得極其容易。VBS腳本病毒具有如下幾個特點：
1．編寫簡單，一個以前對病毒一無所知的病毒愛好者可以在很短的時間里編出一個新型病毒來。
2．破壞力大。其破壞力不僅表現在對用戶系統文件及性能的破壞。他還可以使郵件伺服器崩潰，網路發生嚴重阻塞。
3．感染力強。由於腳本是直接解釋執行，並且它不需要像PE病毒那樣，需要做復雜的PE文件格式處理，因此這類病毒可以直接通過自我復制的方式感染其他同類文件，並且自我的異常處理變得非常容易。
4．傳播范圍大。這類病毒通過htm文檔，Email附件或其它方式，可以在很短時間內傳遍世界各地。
5．病毒源碼容易被獲取，變種多。由於VBS病毒解釋執行，其源代碼可讀性非常強，即使病毒源碼經過加密處理後，其源代碼的獲取還是比較簡單。因此，這類病毒變種比較多，稍微改變一下病毒的結構，或者修改一下特徵值，很多殺毒軟體可能就無能為力。
6．欺騙性強。腳本病毒為了得到運行機會，往往會採用各種讓用戶不大注意的手段，譬如，郵件的附件名採用雙後綴，如.jpg.vbs，由於系統默認不顯示後綴，這樣，用戶看到這個文件的時候，就會認為它是一個jpg圖片文件。
7．使得病毒生產機實現起來非常容易。所謂病毒生產機，就是可以按照用戶的意願，生產病毒的機器（當然，這里指的是程序），目前的病毒生產機，之所以大多數都為腳本病毒生產機，其中最重要的一點還是因為腳本是解釋執行的，實現起來非常容易，具體將在我們後面談及。
正因為以上幾個特點，腳本病毒發展異常迅猛，特別是病毒生產機的出現，使得生成新型腳本病毒變得非常容易。

6. 怎麼解決腳本病毒

1）禁用文件系統對象FileSystemObject 方法：用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。其中regsvr32是Windows\System下的可執行文件。或者直接查找scrrun.dll文件刪除或者改名。 還有一種方法就是在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵的項，咔嚓即可。 2）卸載Windows Scripting Host 在Windows 98中（NT 4.0以上同理），打開［控制面板］→［添加/刪除程序］→［Windows安裝程序］→［附件］，取消「Windows Scripting Host」一項。 和上面的方法一樣，在注冊表中HKEY_CLASSES_ROOT\CLSID\下找到一個主鍵的項，咔嚓。 3）刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射 點擊［我的電腦］→［查看］→［文件夾選項］→［文件類型］，然後刪除VBS、VBE、JS、JSE文件後綴名與應用程序的映射。 4）在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果你覺得以後有機會用到的話，最好更改名稱好了，當然以後也可以重新裝上。 5）要徹底防治VBS網路蠕蟲病毒，還需設置一下你的瀏覽器。我們首先打開瀏覽器，單擊菜單欄里「Internet 選項」安全選項卡里的［自定義級別］按鈕。把「ActiveX控制項及插件」的一切設為禁用，這樣就不怕了。呵呵，譬如新歡樂時光的那個ActiveX組件如果不能運行，網路傳播這項功能就玩完了。 6）禁止OE的自動收發郵件功能 7）由於蠕蟲病毒大多利用文件擴展名作文章，所以要防範它就不要隱藏系統中已知文件類型的擴展名。Windows默認的是「隱藏已知文件類型的擴展名稱」，將其修改為顯示所有文件類型的擴展名稱。 8）將系統的網路連接的安全級別設置至少為「中等」，它可以在一定程度上預防某些有害的Java程序或者某些ActiveX組件對計算機的侵害。 9）呵呵，最後一項不說大家也應該知道了，殺毒軟體確實很必要，盡管有些殺毒軟體挺讓廣大用戶失望，不過，選擇是雙方的哦。

7. 什麼叫腳本病毒又何危害

腳本病毒

這類病毒編寫最為簡單，但造成的危害非常大。我們常見的瀏覽了xx站點就被改了主頁，在收藏夾里被添加上很多無謂的東西，就是拜這類病毒所賜。

病毒描述：這類病毒的本質是利用腳本解釋器的檢查漏洞和用戶許可權設置不當進行感染傳播；病毒本身是ascii碼或者加密的ascii碼，通過特定的腳本解釋器執行產生規定行為，因其行為對計算機用戶造成傷害，因此被定性為惡意程序。最常見的行為就是修改用戶主頁，搜索頁，修改用戶收藏夾，在每個文件夾下放置自動執行文件拖慢系統速度等；比較出名的如美利莎郵件病毒、新歡樂時光病毒、office的宏病毒等都屬於這類。

病毒淺析：為了完成一些自動化的任務，需要用程序方式來實現。但復雜的程序編寫又不是非程序人員能夠勝任的。為了提高工作效率，方便用戶操作，加強系統特性，於是許多軟體/操作系統都預留了介面給用戶，用簡單的方法編寫一些完成一定功能的小程序。程序本身是ascii碼的，不編譯，直接解釋執行，在調試/修改使用上相當簡便，雖然犧牲一定效率，但是換來了易用性。這本是一個良好的願望，但太多的時候，這沒有起到積極的作用，反而為腳本病毒編寫者提供了良機。

以web病毒為例，由於用戶缺乏安全意識用錯誤的許可權登陸，導致ie中的解釋器使用wsh可以操作硬碟上的文件和注冊表，而javascript和vbscript調用wsh是很容易的事情——於是惡意腳本的作者只需要讓你訪問該頁面，就能在你本地寫上一些惡意的腳本，在注冊表裡修改你的主頁/搜索項了。而利用ie的activex檢查漏洞，則可以在不提示地情況下從網路上下載文件並自動執行——這就成了木馬攻擊的前奏曲；利用mime頭漏洞，則可以用一個以jpg結尾的url中，指向一個事實上的web頁，然後在web頁中內嵌圖片+惡意代碼的方式迷惑計算機用戶；利用outlook自動讀去eml的特性和mime頭檢查不嚴格來執行惡意2進制代碼；利用本地硬碟上有執行autorun.inf的特性（這功能本來是光碟機用的，我們的光碟之所以放進去就能自動讀出程序，就是光碟上有個名為autorun.inf文件起的作用，它是個文本文件，各位可以看看）把一些需要載入的程序寫到該文件下導致每次訪問該分區的時候就會自動運行；利用windows下會優先讀取folder.htt和desktop.ini的特性，將惡意代碼寫入其中，導致訪問任何一個文件夾的時候都會啟動該病毒，再配合上鎖定注冊表的功能，殺除起來異常麻煩——不復雜，但是相當煩瑣，一不留意沒殺干凈一處，又導致死灰復燃，前功盡棄。

病毒自查：上面有提到，這類病毒一般以搗亂居多，所以特別容易發現。而其另一個作用是作為木馬進駐系統的先遣部隊，利用瀏覽器漏洞等達到下載木馬文件到本地硬碟，並修改啟動項，達到下次啟機運行的目的。因此一旦發現木馬的同時，也可以檢查一下是不是有些可疑的腳本文件。

病毒查殺：這類病毒一般來說由於其編寫靈活，源代碼公開，所以衍生版本格外地多；殺毒軟體/木馬殺除軟體對待這類病毒大多沒用。而由於腳本病毒（除宏病毒外）大多是獨立文件，只要將這些文件查找出來刪除掉就行了。不過這里值得留意的是，利用微軟的瀏覽器的漏洞，在點擊選擇某些文件的同時就自動執行了，甚至打開瀏覽器的同時腳本病毒就開始駐留感染——這樣是無法殺除干凈的。

正確的做法是使用其他第三方的資源瀏覽器，例如Total Command就是一個非常不錯的選擇。查殺大致過程如下：首先，在資源瀏覽器——工具——文件夾選項中，將「使用Windows傳統風格的桌面」取消掉，在桌面上點右鍵，點「屬性」——「桌面設置」，將使用活動桌面取消，接著查殺可疑對象；常見查殺對象：各個根分區下的autorun.inf，各個目錄下的desktop.ini和folder.htt（有幾個是系統自帶的，不過刪除了也無關系的），這一步最好採用第三方的資源瀏覽器，例如前面介紹的Total Command來完成。在這一步，最忌諱查殺不凈，即使有一個病毒遺漏，很快就又遍布各個文件夾內了。關於郵件病毒的殺除使用專殺工具就行了。

病毒殘留：純粹腳本病毒在殺除後不會有任何殘留，但由於目前的病毒大都採用復合形態，捆綁多種傳染方式和多種特性，因此不少腳本病毒只是將用戶機器的安全防線撕開的前奏——真正的破壞主力木馬、蠕蟲尾隨其後進入系統，因此在殺除掉腳本病毒後，非常有必要連帶著檢查系統中是否已經有了木馬和蠕蟲病毒。

病毒防禦：腳本病毒的特性之一就是被動觸發——因此防禦腳本病毒最好的方法是不訪問帶毒的文件/web網頁，在網路時代，腳本病毒更以欺騙的方式引誘人運行居多。由於ie本身存在多個漏洞，特別是執行activex的功能存在相當大的弊端，最近爆出的重大漏洞都和它有關，包括mozilla的windows版本也未能倖免。因此個人推薦使用myie2軟體代替ie作為默認瀏覽器，因為myie2中有個方便的功能是啟用/禁用web頁面的activex控制項，在默認的時候，可以將頁面中的activex控制項全部禁用，待訪問在線電影類等情況下根據自己的需要再啟用。關於郵件病毒，大多以eml作為文件後綴的，如果您單機有用outlook取信的習慣，最好准備一個能檢測郵件病毒的殺毒軟體並及時升級。如果非必要，將word等office軟體中的宏選項設置為禁用。腳本病毒是目前網路上最為常見的一類病毒，它編寫容易，源代碼公開，修改起來相當容易和方便，而且往往給用戶造成的巨大危害。

以上4類程序的介紹，為了降低學習難度，我是單態方式來介紹的。事實上目前的病毒大多以具有上面4類程序中的2到3類的特徵，因此無論感染，傳播，殺除的困難都大大增加。例如發文前夕的mydoom新變種病毒的分析中：它利用系統漏洞/郵件群發/共享漏洞方式傳播（具備了蠕蟲、腳本病毒和新型病毒的傳播特性），進駐用戶系統後上載自身並運行（木馬特性），獲取用戶本地outlook中的地址本（木馬特性），通過調用google等搜索引擎獲取用戶email地址本中同後綴的相關選項（調用系統程序，木馬功能），再主動給地址本中的每個程序發出email（木馬特性）。對待這樣一個病毒，無論是系統存在漏洞、共享安全設置不當、或者隨意地打開了「朋友」發來的email，都可能導致中毒。關於中毒途徑的分析，留待下一站《攻擊防禦之旅》內一並介紹。

在從第一個病毒出現到現在，已經有整整半個世紀了，病毒的發展日新月異，令查殺的困難大大增加，造成的損失也異常巨大。或許，計算機病毒這個幽靈，從計算機誕生的那一刻起就註定要如影相隨的。只要還有用心險惡的人存在，那麼病毒就不會消亡。病毒之戰，恐怕會在今後的日子裡越演越烈……

8. 什麼是腳本病毒WINDOWS下的PE病毒

腳本病毒通常是JavaScript代碼編寫的惡意代碼，
一般帶有廣告性質，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便。

PE病毒是指所有感染Windows下PE文件格式文件的病毒.
PE病毒大多數採用Win32匯編編寫.
PE病毒對於一個熱衷於病毒技術的人來說,是必須掌握的.
只有在PE病毒中,我們才能真正感受到高超的病毒技術.
編寫Win32病毒的幾個關鍵
Api函數的獲取
不能直接引用動態鏈接庫
需要自己尋找api函數的地址,然後直接調用該地址
一點背景:在PE Loader裝入我們的程序啟動後堆棧頂的地址是是程序的返回地址,肯定在Kernel中! 因此我們可以得到這個地址,然後向低地址縮減驗證一直到找到模塊的起始地址,驗證條件為PE頭不能大於4096bytes,PE header的ImageBase值應該和當前指針相等.
病毒沒有.data段,變數和數據全部放在.code段

編寫Win32病毒的幾個關鍵
偏移地址的重定位
Call delta
delta: pop ebp
sub ebp,offset delta
那麼變數var1的真正偏移地址為:var1+ebp
對PE文件格式的了解
編寫Win32病毒的幾個關鍵
病毒如何感染其他文件
在文件中添加一個新節
該新節中添加病毒代碼和病毒執行後的返回Host程序的代嗎
修改文件頭中代碼開始執行位置(AddressOfEntryPoint)指向新添加的節,以便程序運行後先執行病毒代碼.
PE病毒感染其他文件的方法還有很多,譬如PE病毒還可以將自己分散插入到每個節的空隙中等等,這里不在一一敘述.
PE文件格式一覽
Section n
Section ...
Section 2
Section 1
Section table
PE header
DOS stub
DOS MZ header
PE header
Pe header 由三部分組成
字串 "PE\0\0"(Signature)
映像文件頭(FileHeader)
可選映像頭(OptionalHeader)
字串 "PE\0\0"
Signature 一dword類型,值為50h, 45h, 00h, 00h(PE\0\0). 本域為PE標記,我們可以此識別給定文件是否為有效PE文件.
這個字串在文件中的位置(e_lfanew),可以在DOS程序頭中找到它的指針,它佔用四個位元組,位於文件開始偏移3CH位元組中.
映像文件頭
該結構域包含了關於PE文件物理分布的信息, 比如節數目,文件執行機器等.
它實際上是結構IMAGE_FILE_HEADER的簡稱.
映像文件頭結構
IMAGE_FILE_HEADER STRUCT
___ Machine WORD
___ NumberOfSections WORD
___ TimeDateStamp dd
___ PointerToSymbolTable dd
___ NumberOfSymbols dd
___ SizeOfOptionalHeader WORD
___ Characteristics WORD
IMAGE_FILE_HEADER ENDS
映像文件頭的基本信息
關於文件信息的標記,比如文件是exe還是dll
2
Characteristics *
7
可選頭的大小
2
SizeOfOptionalHeader
6
符號數目
4
NumberOfSymbols
5
COFF符號表的偏移
4
PointerToSymbleTable
4
生成該文件的時間
4
TimeDataStamp
3
文件中節的個數
2
NumberOfSection **
2
機器類型,x86為14ch
2
Machine *
1
描述
大小(位元組)
名字
順序
可選映像頭
optional header 結構是 IMAGE_NT_HEADERS 中的最後成員.包含了PE文件的邏輯分布信息.該結構共有31個域,一些是很關鍵,另一些不太常用.這里只介紹那些真正有用的域.
這兒有個關於PE文件格式的常用術語: RVA
RVA 代表相對虛擬地址.它是相對虛擬空間里的一個地址 .
舉例說明,如果PE文件裝入虛擬地址(VA)空間的400000h處,且進程從虛址401000h開始執行,我們可以說進程執行起始地址在RVA 1000h.每個RVA都是相對於模塊的起始VA的.
可選映像頭
文件中節對齊的粒度.
FileAlignment
內存中節對齊的粒度.
SectionAlignment
PE文件的優先裝載地址.比如,如果該值是400000h,PE裝載器將嘗試把文件裝到虛擬地址空間的400000h處.若該地址區域已被其他模塊佔用,那PE裝載器會選用其他空閑地址.
ImageBase
PE裝載器准備運行的PE文件的第一個指令的RVA.若要改變整個執行的流程,可以將該值指定到新的RVA,這樣新RVA處的指令首先被執行.
AddressOfEntryPoint *
描述
名字
可選映像頭
NT用來識別PE文件屬於哪個子系統.
Subsystem
一IMAGE_DATA_DIRECTORY 結構數組.每個結構給出一個重要數據結構的RVA,比如引入地址表等.
DataDirectory
所有頭+節表的大小,也就等於文件尺寸減去文件中所有節的尺寸.可以以此值作為PE文件第一節的文件偏移量.
SizeOfHeaders
內存中整個PE映像體的尺寸.
SizeOfImage
win32子系統版本.若PE文件是專門為Win32設計的,該子系統版本必定是4.0否則對話框不會有3維立體感.
MajorSubsystemVersion
MinorSubsystemVersion
描述
名字
DataDirectory數據目錄
一個IMAGE_DATA_DIRECTORY數組,裡面放的是這個可執行文件的一些重要部分的RVA和尺寸,目的是使可執行文件的裝入更快,數組的項數由上一個域給出.IMAGE_DATA_DIRECTORY包含有兩個域,如下:
IMAGE_DATA_DIRECTORY
VitualAddress DD
Size DD
IMAGE_DATA_DIRECTORY ENDS
節表
節表其實就是緊挨著 PE header 的一結構數組.該數組成員的數目由 file header (IMAGE_FILE_HEADER) 結構中 NumberOfSections 域的域值來決定.節表結構又命名為 IMAGE_SECTION_HEADER.
結構中放的是一個節的信息,如名字,地址,長度,屬性等.
IMAGE_SECTION_HEADER
本節原始數據在文件中的位置
4
PointerToRawData *
5
本節的原始尺寸
4
SizeOfRawData *
4
這個值+映像基地址=本節在內存中的真正地址.OBJ中無意義.
4
Virtual *
3
OBJ文件用作表示本節物理地址EXE文件中表示節的真實尺寸
4
PhysicalAddress或VirtualSize
2
節名
8
Name *
1
描述
大小(位元組)
名字
順序
IMAGE_SECTION_HEADER
節屬性
4
Characteristics *
10
本節在行號表中的行號數目
2
NumberOfLinenumbers
9
本節要重定位的數目
2
NumberOfRelocations
8
行號偏移
4
PointerToLinenumbers
7
OBJ中表示該節重定位信息的偏移EXE文件中無意義
4
PointerToRelocations
6
描述
大小(位元組)
名字
順序
節
"節(Section)"跟在節表之後,一般PE文件都有幾個"節".比較常見的有:
代碼節
已初始化的數據節
未初始化的數據節
資源節
引入函數節
引出函數節
代碼節
代碼節一般名為.text或CODE,該節含有程序的可執行代碼.
每個PE文件都有代碼節
在代碼節中,還有一些特別的數據,是作為調用映入函數之用.如:
Call MessageBoxA的調用,反匯編後該指令被換為call 0040101A,而地址0040101A仍在.text中,它放有一個跳轉指令jmp dword ptr[0040304c],即這條跳轉指令的目的地址處於.idata節中的0040304C處,其中放的才是MessageBoxA的真正地址,如下圖:
已初始化的數據節
這個節一般取名為.data或DATA
已初始化的數據節中放的是在編譯時刻就已確定的數據.如Hello World 中的字元串"Hello World!".
未初始化的數據節
這個節的名稱一般叫.bbs.
這個節里放有未初始化的全局變數和靜態變數.
資源節
資源節一般名為.rsrc
這個節放有如圖標,對話框等程序要用到的資源.
資源節是樹形結構的,它有一個主目錄,主目錄下又有子目錄,子目錄下可以是子目錄或數據.
都是一個IMAGE_RESOURCE_DIRECTORY結構.結構如下:
IMAGE_RESOURCE_DIRECTORY 結構
以ID標識的資源數
2
NumberOfldEntries
6
以名字標識的資源數
2
NumberOfNamedEntries
5
次版本號
2
MinorVersion
4
主版本號
2
MajorVersion
3
資源生成時間
4
TimeDateStamp
2
通常為0
4
Characteritics
1
描述
大小(位元組)
名字
順序
引入函數節
一個引入函數是被某模塊調用的但又不在調用者模塊中的函數
這個節一般名為.idata,也叫引入表.
它包含從其它(系統或第三方寫的)DLL中引入的函數,例如user32.dll,gdi32.dll等.
它的開始是一個IMAGE_IMPORT_DESCRIPTOR數組.這個數組的長度不定,但他的最後一項是全0,可以以此判斷數組的結束.
引出函數節
什麼是引出函數節
引出函數節是用來向系統提供導出函數的名稱,序號和入口地址等信息,以便Windows裝載器通過這些信息來完成動態鏈接的過程.
了解引出函數節對於學習病毒來說,是極為重要的.
Api函數地址的獲取與引出函數節息息相關.
引出函數節
通過Api函數名查找其地址
(1)定位到PE文件頭
(2)從PE文件頭中的課選文件頭中取出數劇目錄表的第一個數據目錄,得到導出表的地址.
(3)從導出表的NumberOfNames欄位得到以命名函數的總數,並以這個數字做微循環的次數來構造一個循環.
(4)從AddressOfNames欄位指向的函數名稱地址表的第一項開始,在循環中將每一項定義的函數名與要查找的函數名比較,如果沒有任何一個函數名符合,說明文件中沒有指定名稱的函數.
(5)如果某一項定義的函數名與要查找的函數名符合,那麼記住這個函數名在字元串地址表中的索引值,然後在AddressOfNameOrdinals指向的數組中以同樣的索引值去除數組項的值,假如該值為m.
(6)以m值作為索引值,在AddressOfFunctions欄位指向的函數入口地址表中獲取的RVA就是函數的入口地址,當函數被裝入內存後,這個RVA值加上模塊實際裝入的基址(ImageBase),就得到了函數真正的入口地址.

9. 電腦中腳本病毒怎麼辦

這個問題我來答：
建議你用AVAST專殺軟體來殺，我的電腦一直用的這個，3年未被病毒侵略過，我的個人建議是你可以試試。對你有好處哦。- -

回答完畢！！！ 絕對有用 要配合360一起使用效果更佳

10. 常見的腳本病毒有哪些

1、系統病毒

系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件，並通過這些文件進行傳播。如CIH病毒。

2、蠕蟲病毒

蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網路或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外發送帶毒郵件，阻塞網路的特性。比如沖擊波（阻塞網路），小郵差（發帶毒郵件） 等。

3、木馬病毒、黑客病毒

木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網路或者系統漏洞進入用戶的系統並隱藏，然後向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程式控制制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見比較多的針對網路游戲的木馬病毒如 Trojan.LMir.PSW.60 。這里補充一點，病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為「密碼」的英文「password」的縮寫）一些黑客程序如：網路梟雄（Hack.Nether.Client）等。

4、腳本病毒

腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）——可不是我們的老大代碼兄哦 ^_^。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其實宏病毒是也是腳本病毒的一種，由於它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然後通過OFFICE通用模板進行傳播，如：著名的美麗莎(Macro.Melissa)。

6、後門病毒

後門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網路傳播，給系統開後門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。

7、病毒種植程序病毒

這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破壞性程序病毒

破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒並沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。

10．捆綁機病毒

捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然後隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統殺手（Binder.killsys）等。