返回
计算机病毒复习.doc

计算机病毒复习.doc

ID:57645269

大小:29.00 KB

页数:5页

时间:2020-08-30

计算机病毒复习.doc_第1页
计算机病毒复习.doc_第2页
计算机病毒复习.doc_第3页
计算机病毒复习.doc_第4页
计算机病毒复习.doc_第5页
资源描述:

《计算机病毒复习.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、复习一、概念1.(填空题)计算机病毒的定义:计算机病毒是指编制或者在计算机程序中插入的(破坏计算机功能)或者(毁坏数据),影响计算机使用,并能自我复制的一组计算机指令或者程序代码。2.计算机病毒的一般特征:(1)程序性:计算机病毒具有正常程序的一切特性:可存储性、可执行性。(2)传染性:计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作时常甚至瘫痪。3.蠕虫病毒Worm;宏病毒:Macro二、windbg调试1.常用命令:bp——打断点;!proc

2、ess——查看系统当前进程;db,dw,dd——查看内存单元内容2.符号文件调试时需要被调试机的符号文件;符号文件的后缀名是pdb。三、动态链接库DLL1.DLL中的函数根据能否被外部程序调用分为导出函数和内部函数。2.导出方式(1)声明时在函数声明中加上:extern“C”_declspec(dllexport)返回类型函数名(参数类型参数等);(2)创建和动态链接库同名的def文件,dllTest.dll LIBRARYdllTest EXPORTS add@n 3.DLL调用方式(可能是综合

3、分析)(1)静态调用:特点:由编译系统完成对DLL的加载和应用程序结束时DLL的卸载。 步骤:1)将生成的lib和dll文件拷贝到应用程序所在路径; 2)#pragmacomment(lib,”dllTest.lib”)//告诉编译器与dll对应的lib文件所在的路径及文件名; 3)extern“C”_declspec(dllimmport)add(intx,inty);//声明导入函数;代码:#include #include“lib.h” #pragmacomment(l

4、ib,“dllTest.lib”) extern“C”_declspec(dllimmport)ExportFunc(param); voidmain() { ExportFunc(“HelloWorld!”); } (2)动态调用特点:由程序中调用API函数加载和卸载DLL,程序中可以决定DLL文件何时加载或不加载,在运行时决定加载哪个DLL。步骤:1)用LoadLibrary函数加载DLL;2)用GetProcAddress获取DLL函数地址;3)DLL使用完毕后,用FreeLibrary函数

5、释放DLL。LoadLibrary-GetProcAddress-FreeLibrary “DLL加载-DLL函数地址获取-DLL释放”代码:#include typedefvoid(*PFNEXPORTFUNC)(LPCTSTR); intmain(intargc,char*argv[]) { HMODULEhModule=LoadLibrary("..\Debug\DllDemo.dll"); if(hModule!=NULL){ PFNEXPORTFUNCmExpo

6、rtFunc=(PFNEXPORTFUNC)GetProcAddress(hModule,"ExportFunc"); if(mExportFunc!=NULL){ mExportFunc("HelloWorld!"); } FreeLibrary(hModule); } return0; } 四、代码注入1.windows消息Hook(1)按监视范围可分为:局部钩子和全局钩子;(2)截获消息后对消息进行处理的代码称为钩子函数。2.Dll远程线程注入步骤(简答)1)使用OpenProcess得到远

7、程进程的HANDLE 2)在远程进程中为DLL全路径分配内存 3)把DLL的全路径写到分配的内存中 4)使用CreateRemoteThread和LoadLibrary把DLL映射进远程进程。 5)等待远程线程结束,即等待LoadLibrary返回。6)取回远程线程的结束码,即LoadLibrary的返回值,即DLL加载后的基地址(HMODULE)。 7)释放第2步分配的内存。8)用CreateRemoteThread和FreeLibrary把DLL从远程进程中卸载。调用时传递第6步取得的HMOD

8、ULE给FreeLibrary9)等待线程的结束(WaitSingleObject)。五、PE文件格式1.EXE,DLL,SYS等都是PE文件格式,而doc不是。2.PE包含四部分:DOS头、PE头、节表、节。其中前三部分称为PE文件头。3.DOS头中的DOS-MZ头中的e_lfanew字段是PE头的地址。4.PE头:PE文件标识“PE”映像文件头可选映像文件头其中可选映像文件头包含的字段有:(1)优先加载基地址(2)入口地址(3)文件/内存对齐粒度(4)数据目录例:下面哪

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。