PE 木馬病毒入侵計算機使用了哪些技術

PE木馬病毒入侵計算機使用了以下這些技術：

• 重定位技術：病毒也是一段程序，同樣需要使用變量，當病毒感染宿主程序后，由于病毒代碼嵌入不同宿主程序中，嵌入的具體地址可能發生變化，宿主程序被激活執行時由操作系統分配一定的地址空間，由于病毒代碼預先不知道地址空間的具體位置，病毒代碼無法訪問自身的變量，病毒無法正常執行。病毒可以通過重定位技術來有效地解決以上存在的問題。

• 獲取API技術：病毒程序一般很精練，只有一個代碼段，沒有函數導入表，因此病毒無法像正常程序那樣直接調用API函數，找到動態鏈接庫中的真實API地址才能實現函數調用。由于，病毒沒有函數導入表，不能通過API函數名實現調用。因此病毒首先獲得Kernel32.dll的基地址，然后引出LoadLibrary函數和GetProcAddress函數，通過這兩個函數可以動態調用其他動態鏈接庫中的API函數。

• 搜索感染目標技術：病毒試圖感染其他文件需要尋找合適的感染對象，感染對象一般是保存在硬盤上的PE文件。搜索硬盤文件采用遞歸算法，遞歸算法利用堆棧保存目錄和文件數據，而非遞歸算法將數據保存在緩沖區中。遞歸算法更有效地節約內存的占用，這對病毒來說很有意義，占用太多資源容易暴露身份。

• 內存映射技術：內存映射文件是一種加快文件訪問速度的途徑。通過內存映射，認為內存空間變得和物理磁盤的大小相同，當然這是虛擬的內存。存在于磁盤上的文件映射到虛擬內存中，訪問內存映射過的文件就像訪問內存一樣便利。不需要浪費時間的I/O操作，訪問速度得到大幅提高。這對病毒提高運行效率，節約資源有著很大幫助。

• 感染PE文件技術：添加新節是PE感染型病毒最常使用的手段，感染過程實際就是向新節添加病毒代碼以及相關指令，以便病毒執行完畢后正常執行宿主程序。同時ADDRESS OFENTRYPOINT的內容修改為指向新添加的節地址。感染完畢后試圖運行被感染的文件會首先激活病毒代碼，為執行病毒后續操作做準備。

防范PE木馬入侵的措施有以下這些：

• 不要執行任何來歷不明的軟件：對于從網上下載的軟件在安裝、使用前一定要用多幾種反病毒軟件，最好是專門查殺木馬的軟件進行檢查，確定無毒了再執行、使用。

• 不要認為郵箱不會收到垃圾和帶毒的郵件：千萬不要認為私人郵箱就不會收到垃圾和帶毒的郵件，即使從沒露過面的郵箱或是ISP郵箱也是有風險的，有些時候你永遠沒辦法知道別人如何得知你的mail地址的。

• 不要隨便留下個人資料：特別不要在聊天室內公開你的Email地址，更不要將重要口令和資料存放在上網的主機里，以防黑客侵入主機盜走一切個人信息。

• 不要隨便下載軟件：不要再不可靠的小FTP站點、公眾新聞級、論壇或BBS上下載軟件，因為這些地方正是新病毒發布的首選之地。

• 不要輕易打開廣告郵件中附件或點擊其中的鏈接：因為廣告郵件也是那些黑客程序依附的重要對象，特別是其中的一些鏈接，只要一點開，木馬病毒就會立馬入侵。

• 將windows資源管理器配置成始終顯示擴展名：因為一些擴展名為：VBS、SHS、PIF的文件多為木馬病毒的特征文件，更有些文件為又擴展名，更應重點查看，一經發現要立即刪除，千萬不要打開，只有實時顯示了文件的全名才能及時發現。

• 盡量少用共享文件夾：如果因工作等其它原因必需設置成共享，則最好單獨開一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中，注意千萬不要系統目錄設置成共享，不然這樣被入侵的風險非常高

• 給電子郵件加密：為了確保郵件不被其它人看到，同時也為了防止黑客們的攻擊，可使用一些郵件加密軟件，提高安全性。

• 運行反木馬實時監控程序：還有最重要的一點，就是在上網時必需運行反木馬實時監控程序，可即時顯示當前所有運行程序并有詳細的描述信息，還可以外加一些專業的最新殺毒軟件、個人防火墻進行監。

回答所涉及的環境：聯想天逸510S、Windows 10。