星海浮沙

摘要： PE文件病毒虽然因为传播不及蠕虫已经很少独立存在了,但是仍然有很多病毒把他的感染部分作为一个功能.而且学习PE文件病毒可以让我们对PE的格式更好的了解,而加壳程序的外壳部分也运用到了和PE文件病毒类似的技术,所以还是可以了解下的 我也是刚学习这方面的东西,就把一点点心得写了下来.参考了罗云彬的在下菜鸟一只,望高手指教~ 首先说说PE文件病毒的工作方式．一个PE文件病毒基本上有这几个功能：１）获取kernel32.dll的基地址 ２）通过所获得的kernel32的基地址通过dll的PE文件格式中的输出表获得以后要使用到的API的地址，并将他们存放在变量或是栈中，将来所调用的API直接通过CALL 阅读全文