PE 木馬病毒包含哪些技術

PE木馬病毒包含以下技術：

• 重定位技術：病毒也是一段程序，同樣需要使用變量，當病毒感染宿主程序后，由于病毒代碼嵌入不同宿主程序中，嵌入的具體地址可能發生變化，宿主程序被激活執行時由操作系統分配一定的地址空間，由于病毒代碼預先不知道地址空間的具體位置，病毒代碼無法訪問自身的變量，病毒無法正常執行。病毒可以通過重定位技術來有效地解決以上存在的問題。

• 獲取API技術：病毒程序一般很精練，只有一個代碼段，沒有函數導入表，因此病毒無法像正常程序那樣直接調用API函數，找到動態鏈接庫中的真實API地址才能實現函數調用。由于，病毒沒有函數導入表，不能通過API函數名實現調用。因此病毒首先獲得Kernel32.dll的基地址，然后引出LoadLibrary函數和GetProcAddress函數，通過這兩個函數可以動態調用其他動態鏈接庫中的API函數。

• 搜索感染目標技術：病毒試圖感染其他文件需要尋找合適的感染對象，感染對象一般是保存在硬盤上的PE文件。搜索硬盤文件采用遞歸算法，遞歸算法利用堆棧保存目錄和文件數據，而非遞歸算法將數據保存在緩沖區中。遞歸算法更有效地節約內存的占用，這對病毒來說很有意義，占用太多資源容易暴露身份。

• 內存映射技術：內存映射文件是一種加快文件訪問速度的途徑。通過內存映射，認為內存空間變得和物理磁盤的大小相同，當然這是虛擬的內存。存在于磁盤上的文件映射到虛擬內存中，訪問內存映射過的文件就像訪問內存一樣便利。不需要浪費時間的I/O操作，訪問速度得到大幅提高。這對病毒提高運行效率，節約資源有著很大幫助。

• 感染PE文件技術：添加新節是PE感染型病毒最常使用的手段，感染過程實際就是向新節添加病毒代碼以及相關指令，以便病毒執行完畢后正常執行宿主程序。同時ADDRESS OFENTRYPOINT的內容修改為指向新添加的節地址。感染完畢后試圖運行被感染的文件會首先激活病毒代碼，為執行病毒后續操作做準備。

回答所涉及的環境：聯想天逸510S、Windows 10。