PE木马病毒包含哪些技术

PE木马病毒包含以下技术：

• 重定位技术：病毒也是一段程序，同样需要使用变量，当病毒感染宿主程序后，由于病毒代码嵌入不同宿主程序中，嵌入的具体地址可能发生变化，宿主程序被激活执行时由操作系统分配一定的地址空间，由于病毒代码预先不知道地址空间的具体位置，病毒代码无法访问自身的变量，病毒无法正常执行。病毒可以通过重定位技术来有效地解决以上存在的问题。

• 获取API技术：病毒程序一般很精练，只有一个代码段，没有函数导入表，因此病毒无法像正常程序那样直接调用API函数，找到动态链接库中的真实API地址才能实现函数调用。由于，病毒没有函数导入表，不能通过API函数名实现调用。因此病毒首先获得Kernel32.dll的基地址，然后引出LoadLibrary函数和GetProcAddress函数，通过这两个函数可以动态调用其他动态链接库中的API函数。

• 搜索感染目标技术：病毒试图感染其他文件需要寻找合适的感染对象，感染对象一般是保存在硬盘上的PE文件。搜索硬盘文件采用递归算法，递归算法利用堆栈保存目录和文件数据，而非递归算法将数据保存在缓冲区中。递归算法更有效地节约内存的占用，这对病毒来说很有意义，占用太多资源容易暴露身份。

• 内存映射技术：内存映射文件是一种加快文件访问速度的途径。通过内存映射，认为内存空间变得和物理磁盘的大小相同，当然这是虚拟的内存。存在于磁盘上的文件映射到虚拟内存中，访问内存映射过的文件就像访问内存一样便利。不需要浪费时间的I/O操作，访问速度得到大幅提高。这对病毒提高运行效率，节约资源有着很大帮助。

• 感染PE文件技术：添加新节是PE感染型病毒最常使用的手段，感染过程实际就是向新节添加病毒代码以及相关指令，以便病毒执行完毕后正常执行宿主程序。同时ADDRESS OFENTRYPOINT的内容修改为指向新添加的节地址。感染完毕后试图运行被感染的文件会首先激活病毒代码，为执行病毒后续操作做准备。