可执行文件 - lczi

可执行文件     可执行文件 (executable file) ，可移植可执行 (PE) 文件格式的文件，它可以加载到内存中，并由操作系统加载程序执行。它可以是 .exe文件 .sys文件 .com文件等。

目录

1释义

2脚本

3开发过程

4防毒

▪ 文件型病毒

▪ 引导型病毒

▪ 内存解毒

▪ 未知病毒检测

▪ 包裹文件病毒

▪ 压缩工具

▪ 网络病毒防治

▪ Linux

▪ Mac

   

1释义

如记事本程序notepad.exe ，这类程序通常用来处理或者辅助处理其它文件。比如：myfile.txt双击打开由notepad.exe记事本程序来进行编辑。 我们做一件事，可以把顺序以及具体做什么事写在mybat.bat文件中，那运行它就可以把要做的事件执行了。 可以理解为：这类文件可以“单独运行”，或者理解为“有生命”的文件！ 如果把它用日常通俗的一点的例子来形容：衣服，鞋子等都是普通的文件，那人就是可执行文件！ 人可以做衣服穿衣服，衣服却要依靠人来做。布也要由人加工成衣服！

2脚本

不是所有的执行档，都只存有电脑能阅读的资料。以脚本语言撰写的脚本档案，都可以是执行档，而且内含的资料可被人类阅读，多数以ASCII文本存盘。原因是：脚本语言无需经过编译器预先编译，就可经过直译器（如Perl、Python、Shell）执行

3开发过程

在DOS下，生成一个可执行文件的步骤比较简单，用编译器将源程序编译为obj文件，再用链接器将obj文件链接成exe文件，不同语言的开发过程都差不多。 DOS可执行文件中的内容是由源程序中所写的代码和数据定义转换而来的。惟一的例外是带覆盖部分（Overlay）的exe文件，它在基本的exe文件后附加了一些自定义的数据，其中可执行部分的长度由文件头偏移0002h和0004h中的长度给出，该长度之后到文件实际长度这部分就是Overlay部分。这样，即使一个带覆盖的exe文件大小远远超过640 KB，在DOS下也能运行，因为操作系统只装入真正的可执行部分，然后由程序自己去读取覆盖部分的数据。一些打包软件生成的奇大无比的自解压包就采用这种结构，可执行部分是解包代码，覆盖部分是被压缩的数据。DOS对可执行文件覆盖部分的数据格式并没有规定，它是程序员按自己的方式组织的。如果程序员愿意，也可以把这些数据单独放在另外一个文件中。 Win32可执行文件叫做PE文件。PE文件的基本结构和DOS可执行文件有很大的不同。它把程序中的不同部分分成各种节区（Section），其中可以有一个节区是放置各种资源的，如菜单、对话框、位图、光标、图标和声音等。虽然可以把资源部分理解成类似DOS可执行文件中的“覆盖”部分，但由于资源是Win32可执行文件的标准组成部分，而且是非常重要的组成部分，它的格式是固定的。所以与DOS软件的开发过程相比，Win32软件的开发中多了一个创建资源文件的步骤。 以使用MASM32软件包为例，在用Win32汇编开发软件的流程中，程序员要做的工作分创建代码和创建资源两部分，如图2.1所示。 代码部分的开发工作与DOS下写代码的步骤是一样的。程序员用文本编辑器书写汇编源代码（*.asm文件）。与C源代码类似，asm文件中也可以用include语句包含数据定义和函数声明的头文件，Win32汇编的头文件一般用inc作扩展名。大部分的include文件是编译器软件包附带提供的，如MASM32软件包附带的Windows.inc文件定义了Win32 API中很多参数和数据结构，其他的inc文件则是不同DLL中的Win32 API函数声明。最后，asm文件经汇编编译器编译成以obj为扩展名的目标文件。 资源文件中可以包括对话框、快捷键、菜单、字符串、版本信息和一些图形资源等内容。资源文件的源文件是一种类似“脚本”的文本文件，它的扩展名一般为rc，其中用不同的语法定义了不同类型的资源，资源脚本文件最后由资源编译器编译成资源文件*.res。资源脚本文件同样用到很多预定义值，所以软件包中一般也包括资源头文件供源文件来导入。MASM32软件包中的资源头文件是Resource.h。 在资源文件中，不同类型资源的记录方式是不同的。对话框资源只记录定义值，如对话框的大小、位置等，并非真正存储对话框最后显示在屏幕上的像素。这些大小、位置等信息最后由Windows解释后才在屏幕上被绘画成像素；菜单、字符串、快捷键等由文本构成；图形资源则真正由像素组成，它们在资源脚本中被定义为一个文件名，由资源编译器从磁盘文件导入。Windows在资源中支持的图形文件有bmp位图文件、cur光标文件和ico图标文件，这些图形文件可以用其他图形处理软件生成。另外，wav声音文件也可以用在资源中。创建资源的方法在第5章中有详细的描述。 编译好目标文件*.obj和资源文件*.res后，最后一步是用链接器将它们链接成可执行文件。链接的时候要用到函数库。在DOS环境下编程的时候，使用的函数库是静态库。静态库是一些已经编译好的代码模块。当用户在源程序中用到某个函数的时候，链接器从库文件中将这个函数的二进制代码取出，与obj文件合在一起生成最终的exe文件。但在Win32环境下，大部分的公用函数封装在DLL文件中，以动态链接的方式供用户程序调用。这时候库文件中只需要包含函数在DLL中的位置信息，不再需要有二进制代码部分。所以链接的时候也只是把库文件中的位置信息取出放入最后的可执行文件中。Win32中这种只包含位置信息的库文件称为导入库。

4防毒

病毒的检测与解除

文件型病毒

在计算机病毒中绝大部分是文件型。所谓文件型病毒是指此类病毒寄生在可执行文件上，并依靠可执行文件来传播。从数学角度而言，解除这种病毒的过程实际上是病毒感染过程的逆过程。通过检测工作、（跳转、解码），已经得到了病毒体的全部代码，用于还原病毒的数据肯定在病毒体内，只要找到这些数据，依照一定的程式或方法即可将文件恢复，也就是说可以将病毒解除。

引导型病毒

这类病毒的种类也比较多，我国发现的第一例病毒--“小球”病毒就是引导型病毒，它们占据软盘或硬盘的第一个扇区，在开机后先于操作系统得到对计算机的控制，影响系统的I/O存取速度，干扰系统的正常运行；此类病毒可用地址法、相对法、逻辑法、覆盖法、特殊法予以解除。

内存解毒

因为内存中的活病毒体会干扰反病毒软件的检测结果，所以几乎所有反病毒软件设计者都要考虑到内存解毒。新的内存解毒技术是找到病毒在内存中的位置，重构其中部分代码，使其传播功能失效。

未知病毒检测

通过对大量病毒的分析，可以掌握病毒的共性，并按照其发展衍生规律进行分类，总结病毒常用代码（这些代码是病毒存在、传播和发作的根本），以文件中包含这些代码的加权统计值作为对未知病毒检测的依据，使用可执行文件格式知识分析启始代码，通过一定程度的反汇编和预测跳转，综合结果报告未知病毒。这种方法是建立在独特病毒描述语言基础上的，具有描述准确、误报率低等特点。

包裹文件病毒

包裹程序是一些常见的工具软件，它可以包裹可执行文件，减小磁盘占用空间，加快运行速度。但把一个病毒包裹后，病毒就会被保护起来，使得各种反病毒软件无法查到。已被包裹并含有病毒的可执行文件在执行时，病毒会到处传播，使用反病毒软件将病毒解除之后，被包裹的可执行文件中的病毒却保留下来，危害较大。通过特有的解包裹模块，可以即查解被包裹后的病毒，又不破坏被包裹后没有病毒的可执行文件。

压缩工具

磁盘上经常会有一些被压缩工具处理过的文件，这样做可以节省磁盘空间，便于保密和携带。但如果有人无意将病毒传染的文件使用压缩工具压缩了，那么一般反病毒软件就无法将病毒从压缩文件中查出，采用解压缩算法和流程处理可以根治这种病毒。

网络病毒防治

对于单机病毒防治，运用以上技术或使用具有相应功能的反病毒软件即可基本保障计算机系统不受病毒的侵扰。相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能，如果没有把管理功能加上，很难完成网络防毒的任务，只有管理与防范相结合，才能保证系统的良好运行。 管理功能就是管理全部的网络设备和操作：从Hub、交换机、服务器到PC，包括软盘的存取、局域网上的信息互通及与Internet的接驳等所有病毒能够感染和传播的途径。 一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制，但在网络环境下，应该相应采取新的防范手段。 在网络环境下，病毒传播扩散快，仅用单机反病毒产品已经难以清除网络病毒，必须有适用于局域网、广域网的全方位反病毒产品。 为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；可在内部网络服务器上安装网络病毒防治软件；可在单机上安装单机环境的反病毒软件

Linux

Linux可执行文件格式为ELF即Executable and Linkable Format。 格式： ELF header program header table .txt .rodata .data Section header table

Mac

Mac可执行文件格式为Mach-O即Mach Object格式。