汪道之

入口点模糊技术

Entry Point Obscuring（EPO）：

1. EPO是病毒代码隐藏自己入口点，避免被查杀的一种技术
2. EPO使得被病毒修改的入口点看起来依然像是正常的入口点

末节大小不变的寄生

需要修改的地方

1. 填写eb 02 90 90机器码（病毒机器码）
2. 修改AddressOfEntryPoint
3. 修改节的VirtualSize
4. 节的SizeOfRawData不需要修改
5. 可选映像头SizeOfImage

PE格式

在Win32位平台可执行文件命名为可移植的可执行文件（Portable Executable File），该文件的格式就是PE格式

在Win32系统中，常见的EXE，DLL，SYS，COM等可执行文件都是PE文件

OllyDebug简介

Windows下用户级调试神器——OllyDebug，简称OD

OD是强大的动态追踪工具，具有可视化操作界面，但是非常占内存

介绍

之前的病毒在每份感染文件中都复制了一份病毒拷贝，而链式病毒只保留一份病毒拷贝，其利用文件目录项，将受感染文件的头簇指向病毒