软件安全技术课件：恶意代码分析基础.pptx

恶意代码分析基础

本讲要点1.计算机启动过程2.程序的生成和运行3.PE文件4.程序的逆向分析5.应用案例

1.计算机启动过程（1）计算机初始化启动过程及其安全性：1）计算机初始化启动过程按下电源开关，电源就开始向主板和其它设备供电BIOS的启动代码进行加电后自检（Power-OnSelf-Test，POST）BIOS的启动代码选择启动盘

1.计算机启动过程（1）计算机初始化启动过程及其安全性：计算机初始化启动过程中的安全问题由于BIOS芯片和COMSRAM芯片能够被改写，所以，通过改写BIOS可以加载病毒程序或者损坏BIOS内容，著名的CIH病毒就是这类恶意代码的代表。当COMS感染病毒时，由于存储空间较小和不可自动执行的特性，经常被忽略。BIOS芯片的恢复方式主要通过芯片编辑器写入或直接找主板经销商更新，若能显示，也可通过软件进行更新。现阶段的BIOS，都有关于BIOS写入有效或无效的设置，作为预防，建议将BIOS写入设置成无效。

1.计算机启动过程（1）操作系统启动过程及其安全性分析：2）操作系统启动过程读取指定启动顺序中的存储设备的主引导记录硬盘启动操作系统启动

1.计算机启动过程（2）操作系统启动过程及其安全性分析：2）操作系统启动过程的安全问题在操作系统启动过程，病毒主要存在于主引导扇区、引导扇区和分区表中，这种类型的病毒称为引导区病毒。随着操作系统的发展，尤其是Windows7、Windows8出现以后，分区方式发生了改变，一部分引导区病毒已经失效了。内核装载阶段是病毒随启动而加载的主要阶段，在这个启动过程中，内核装载主要与Smss.exe和Winlogon.exe等进程有关，因此，病毒也可能存于其中。

2.程序的生成和运行（1）程序生成和运行的典型过程：1）编译型程序。程序在执行前编译成机器语言代码，运行时直接供机器执行。

2.程序的生成和运行（1）程序生成和运行的典型过程：2）解释型程序。程序在用编程语言编写后，不需要编译，以文本方式存储原始代码，在运行时，通过对应的解释器解释成机器码后再运行，如JavaScript、Basic语言编写的程序，执行时逐条读取解释每个语句，然后再执行。

2.程序的生成和运行（2）编译/链接与程序的构建：1）程序的编译编译器（含汇编器）的基本功能是，将使用一种高级语言编写的程序（源程序）翻译成目标代码（机器语言代码）。编译过程主要包含3个步骤：预处理。编译、优化。目标代码生成。

2.程序的生成和运行（2）编译/链接与程序的构建：2）程序的链接链接器的基本功能是，将编译器产生的多个目标文件合成为一个可以在目标平台下执行的文件。这里说的目标平台是指程序的运行环境，包括CPU和操作系统。其核心工作是符号表解析和重定位。链接按照工作模式分为两类：静态链接。动态链接。

2.程序的生成和运行（3）加载与程序的运行：为什么双击一个exe程序文件（PE文件）它就会被Windows运行？为什么系统要把程序文件装载到内存再执行呢？

3.PE文件（1）PE文件的概念：1）什么是PE文件？微软Windows环境下可执行文件的标准格式是PE（PortableExecutable，可移植执行体）文件，其目的是为所有Windows平台设计统一的文件格式，即为Windows平台的应用软件提供良好的兼容性和扩展性。微软自WindowsNT3.1首次引入PE文件格式以来，后续操作系统结构变化、新特性添加、文件存储格式转换等都没有改变PE文件格式。64位的Windows只对PE格式作了一些简单的修饰，新格式叫做PE+或PE32+，并未加入新的结构，只简单的将以前的32位字段扩展为64位。

3.PE文件（1）PE文件的概念：2）PE文件的作用PE文件不仅包含了二进制的机器代码，还自带许多其他信息，如字符串、菜单、图标、位图、字体等在程序被执行时，操作系统会按照PE文件格式的约定去相应的地方准确地定位各种类型的资源，并分别装入内存的不同区域。PE文件数据资源定位采用链表与固定格式相结合的方式，前者利用链表管理资源，资源的具体位置灵活，后者要求数据结构大小固定，其位置也相对固定。

3.PE文件（1）PE文件的概念：3）PE文件与恶意代码PE——“可移植的执行体”意味着此文件格式可用于所有Windows操作系统平台和所有CPU上。对PE文件结构及相关技术的研究是恶意代码研究的基础，因为恶意代码的执行必将直接或者间接地依赖于PE文件。例如，Win32病毒感染文件时，基本上都会将EXE和DLL文件作为目标。计算机病毒等许多恶意代码本身也是可执行的，其文件也遵循PE文件结构。。

3.PE文件（2）PE文件结构：1）PE文件总体结构

3.PE文件（2）PE文件结构：2）PE