pe文件版權

㈠ 這裡面的「CHI」什麼意思

CIH病毒
目錄·CIH病毒簡介
·CIH病毒破壞哪一類BIOS
·CIH病毒的版本
·CIH病毒發作特徵
·感染CIH病毒的特徵
·來源
·小結

CIH病毒簡介

CIH病毒傳播的主要途徑是Internet和電子郵件，當然隨著時間的推移，它也會通過軟盤或光碟的交流傳播。據悉，權威病毒搜集網目前報道的CIH病毒， 「原體」加「變種」一共有五種之多，相互之間主要區別在於「原體」會使受感染文件增長，但不具破壞力；而「變種」不但使受感染的文件增長，同時還有很強的破壞性，特別是有一種「變種」，每月26日都會發作。

CIH病毒只感染Windows 95/98操作系統，從目前分析來看，它對DOS操作系統似乎還沒有什麼影響，所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows 95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。

CIH病毒「變種」在每年4月26日（有一種變種是每月26日）都會發作。發作時硬碟一直轉個不停，所有數據都被破壞，硬碟分區信息也將丟失。CIH病毒發作後，就只有對硬碟進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主板的電壓，改寫只讀存儲器的BIOS，被破壞的主板只能送回原廠修理，重新燒入BIOS。

CIH病毒破壞哪一類BIOS
當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。 現在PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段「燒」入（又稱「固化」）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程序和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程序，然後硬碟再開始引導操作系統。 固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。 但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。 改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。 所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。 需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。

CIH病毒的版本

CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好像沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。

CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

1.0：最初的 V1.0版本僅僅只有 656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

1.1：當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

1.2：當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

1.3：原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息： WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。

1.4：此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

CIH病毒發作特徵

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息將被清除。

感染CIH病毒的特徵
由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串， 因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行： inc bx dec cx dec ax 則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。

具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具>查找>文件或文件夾」，在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」欄中輸入要查找的特徵字元串--「CIH v」，最後點勸查找鍵」即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。

一般情況下，推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepade.exe中搜索特徵串，以判斷是否感染了CIH病毒。 另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位--「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。

還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光碟時出現死機現象， 本人沒有嘗試過，不知道實際上是不是有這一情況存在。

適合高級用戶使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。

另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--「PE00」，接著將距此點偏移0x28處的4個位元組值，例如「A0 02 00 00」(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據「55 8D 44 24 F8 33 DB 64」， 並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為「CB 21 40 00」（OXOO4021CB），將此值減去OX40000，將得數--「CB 21 00 00」（OXOO0021CB）值放回到距「PE00」點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最後將「55 8D 44 24 F8 33 DB 64」全部填成「00」，使得我們容易判斷病毒是否已經被殺除過。 按照上面手工殺毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵！）。使用上述方法的缺點在於病毒體還將保留在可執行文件中，雖然不會起作用， 但是想起來可能會有點不舒服（記得「WPS2000測試版殘留CIH病毒屍體」的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟體進行殺毒，必須使用干凈的系統盤啟動計算機）。

㈡ biOS病毒的問題

著名的CIH病毒。
CIH病毒，別名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等，屬文件型病毒，由一位名叫陳盈豪的台灣大學生所編寫的。CIH的載體是一個名為「ICQ中文Ch_at模塊」的工具，CIH病毒感染windows95/98系統下的可執行（EXE）文件，當一個染毒的EXE文件被執行，CIH病毒駐留內存，當其他程序被訪問時對它們進行感染。
CIH病毒主要傳播媒體是網路--網際網路和區域網，光碟--主要是盜版光碟、軟盤，最早於通過盜版軟體（包括一些流行的游戲軟體「古墓奇兵」）傳播，速度急快。由於網際網路的普及， 網際網路已成為最主要的傳播途徑。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下運行的後綴為exe、com、vxd、vxe 的應用程序，並且連自解壓文件均受感染，CIH病毒感染硬碟上的所有邏輯驅動器。如果多次重新從C盤啟動計算機，就為CIH病毒創造了破壞計算機主板BIOS的機會。CIH病毒只能破壞那些可升級的BIO S（FLASH型），它對後一種BIOS只是使CMOS的參數回到計算機出廠時的設置。 CIH病毒對BIOS的破壞除了每月的26日外，在其他日子只要多次熱啟動，同樣會造成破壞。
1998年6月初在台灣被發現之後，便開始在全球爆發，正是因為CIH病毒獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播，在短短幾個月內一躍進入流行病毒的前十名。

CIH變種發展的5個版本：
CIH病毒出現至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破壞性，感染Windows PE可執行文件。v1.1版本能自動判斷運行系統，如是Windows NT，則自我隱藏，被感染的文件長度並不增加。v1.2版本增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，成為惡性病毒。感染ZIP自解壓包文件，導致ZIP壓縮包在解壓時出現錯誤警告信息，發作日是每年4月26日。v1.3版本不感染 WINZIP類的自解壓程序，發作日改為每年6月26日。v1.4版本修改了發作日期及病毒的版權信息，發作日為每月26日。

CIH病毒v1.0版本：
最初的 V1.0版本僅僅只有 656位元組， 其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本：
當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」， 將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

CIH病毒v1.2版本：
當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

CIH病毒v1.3版本：
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時， 將導致此ZIP壓縮包在自解壓時出現：
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是： 一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。

CIH病毒v1.4版本：
此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。

CIH病毒快速傳播的時間表：
1998/6/2 台灣傳出首例CIH病毒報告
1998/6/6 發現CIH V1.2版本
1998/6/12 發現CIH V1.3版本
1998/6/26 CIH V1.3版本造成一定程度的破壞
1998/6/30 發現CIH V1.4版本
1998/7 在INTERNET 環境中發現一個基於WIN98系統的分布感染實例
1998年7月26日，CIH病毒開始在美國大面積傳播；
1998/8 在Wing Commander 游戲站點發現DEMO被感染
1998/8 兩家歐洲的PC游戲雜志光碟被發現感染CIH
1998/8/26 CIH 1.4 版本爆發, 首次在全球蔓延
1998年8月26日，該病毒入侵中國
1998年8月31日，公安部發出緊急通知，新華社、中央台新聞聯播全文播發
1998/9 Yamaha 為某個類型的CD-R驅動編寫的軟體被感染CIH
1998/10 一個在全球發行的游戲SiN的DEMO版被發現感染CIH
1999/3 CIH 1.2 版本被發現在IBM 的Aptiva 機器中預裝
1999/4/26 CIH 1.2 版本首次大范圍爆發 ，全球超過六千萬台電腦被不同程度破壞
2000/4/26 CIH 1.2 版本第二次大范圍爆發 ，全球損失超過十億美元；
2001/4/26 CIH 第三次大范圍爆發 ，僅北京就有超過六千台電腦遭CIH破壞
2002/4/26至今，CIH病毒發作趨緩，但江民客戶服務部每年仍會接到數十例感染CIH病毒的用戶求救。

CIH為什麼這么「厲害」？
當CIH病毒發作時它會覆蓋掉硬碟中的絕大多數數據，這樣只能從最新的備份中恢復； 該病毒還有另一種破壞方式：即試圖覆蓋Flash BIOS中的數據。一旦Flash BIOS被覆蓋掉，那麼機器將不能啟動，只有將Flash BIOS進行重寫之後才行。Flash BIOS存在於多種類型達的PENTIUM機器中，象Intel 430TX，在大多數機器中Flash BIOS通過一個跳線保護，通常情況下，保護是關閉的。
CIH病毒感染windows可執行文件（EXE），它不感染word和excel文檔。CIH感染win95/98系統，卻不能感染windows NT系統。
CIH病毒採取一種特殊的方式對可執行文件進行感染，感染後的文件大小根本沒有變化，病毒代碼的大小在1K左右。為了獲取對系統文件的調用，該病毒跟蹤處理器0環到3環的跳轉。

感染CIH病毒後會出現如下症狀：
系統不能正常啟動，這時如果重新熱啟動，將會給病毒破壞 BIOS帶來機會，如果是不可升級的BIOS將會使CMOS參數變為出廠時的狀態，如果是可升級的BIOS將使主板受到破壞。應用程序不能正常運行，並莫明其妙地出現死機現象。系統不能正常關閉，當系統出現「Windows正在關機......」畫面時會出現死機， 這時如果熱啟動，將可能使硬體受破壞。另外，感染CIH病毒的軟體體積增大，程序被破壞。

判斷是否感染CIH病毒的三種方法
1、由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試 「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串， 因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行：
inc bx
dec cx
dec ax
則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。
具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具 > 查找 > 文件或文件夾」， 在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」 欄中輸入要查找的特徵字元串----「CIH v」，最後點取「查找鍵」即可開始查找工作。如果在查找過程中，顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。
實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下， 推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepade.exe中搜索特徵串，以判斷是否感染了CIH病毒。
另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550， 其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值， 則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位----「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。
2、感染到CIH v1．2版，則所有WinZip自解壓文件均無法自動解開，同時會出現WinZip自解壓首部中斷。可能原因：磁碟或文件傳輸錯誤。這個信息。感染到CI?Hv1．3版則部分WinZip自解壓文件無法自動解開。 有的還會造成MAGICZIP不能安裝，如果遇到以上情況，有可能就是感染上CIH病毒了。
3、CIH病毒會造成Win 95的死機。原因是病毒代碼要寫到文件的頭部。有時候被病毒傳染的文件不能被Win 95識別，認為是非法程序會造成Win 95的死機。當出現頻繁死機的情況時，有可能就會是有CIH病毒存在了。

防範和對付CIH病毒
對付 CIH病毒關鍵是如何防範。首先，不要用盜版軟體，堅持使用正版軟體。其次，對網路上、光碟和軟盤上的軟體在安裝或使用前一律用殺毒軟體進行檢查，要求所有的殺毒軟體要有查殺自解壓或壓縮包中CIH病毒的能力。 第三，可在 windos系統中安裝查殺 CIH病毒的全天候實施監視軟體，並且定期運行殺毒軟體，對系統程序和應用程序進行全面的掃描。

如果已經受到 CIH病毒的感染該怎樣辦呢？首先用戶應該確定自己計算機主板的BIOS是那種類型的，如果是不可升級型的，用戶只需對改回去的CMOS的參數進行重新設置即可。如果用戶的計算機BIOS是可升級型的。如果出現 CIH病毒發作的症狀，不要重新啟動計算機從C盤引導系統，而應該及時進入CMOS設置程序，將系統引導盤設置為a盤然後A 盤引導系統，之後用殺毒軟體對系統軟體造成破壞後該怎樣辦呢？首先使用殺毒軟體對硬碟進行徹底殺毒，之後再對系統軟體和應用軟體進行重新安裝。可以在被 CIH病毒破壞的基礎上直接安裝，這種方法較簡單，但會造成硬碟空間的浪費，因為這將帶來一些垃圾文件；另一種方法是將用戶的重要數據進行備分，之後對硬碟進行格式化，重新安裝系統程序和應用程序，這樣能節省硬碟空間。

㈢ U盤PE中的PE是什麼意思

相當於一個精簡的系統，Microsoft Windows 預安裝環境（Windows PE）。

1、全稱 Windows Preinstallation Environment，DOS下工作的圖形界面，相當於啟動盤，但比啟動盤功能強，是一個基於WindowsXP核心的迷你操作系統，也可以講是XP的精簡版。

2、Windows PE是Windows系統下的可執行文件的一種（還有NE、LE），是微軟設計、TIS（Tool Interface Standard,工具介面標准）委員會批準的一種可執行文件格式。

3、PE的意思是Portable Executable（可移植可執行）。所有Windows下的32位或64位可執行文件都是PE文件格式，其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。

4、Windows PE以ISO光碟或其他可攜設備作媒介，下載後直接刻盤在BIOS里設置光碟啟動，然後Windows PE會自動引導進入一個命令行界面，可以讀寫FAT32、NTFS等格式的分區，可以對硬碟分區、格式化（可以格成NTFS的）。

5、Windows PE啟動後支持IPv4和IPv6，還可以使用網路環境。使用net命令，就可以簡單地訪問伺服器。

(3)pe文件版權擴展閱讀：

Windows PE主要的使用環境是虛擬機，虛擬機環境與實際PC環境幾乎沒有區別，如果用戶不清楚虛擬機也沒關系，就當是在真實PC上直接運行。

將BIOS中設置成光碟機引導，並開始啟動系統，當屏幕畫面上出現「Press any key boot from cd」時，按任意鍵從光碟機上的Windows PE引導啟動。

如果用戶的存儲設備驅動不被支持，在啟動時按下F6鍵可載入特殊設備的驅動。當啟動到桌面時系統會做一些如調整解析度的工作，最後打開默認的CMD命令行解釋工具。

Windows PE啟動相當快捷，而且對啟動環境要求不高，其功能幾乎相當於安裝了一個 Windows 的命令行版本。因此，對於個人計算機用戶，只要將其寫入U盤（或刻錄在一張光碟上），便可放心地去解決初始化系統之類的問題。

網路—Windows PE

網路—PE

㈣ Winpe 系統 是微軟的版權嗎有盜版之說嗎

Windows PE = Windows PreInstallation Environment，Windows預安裝抄環境，微軟在襲2002年7月22日發布，帶有限服務的最小Win32子系統，基於以保護模式運行的Windows XP Professional內核。
PE本身是免費的

㈤ 全世界最牛B的病毒是

沒有最牛B，只有沒得救。

㈥ 如何製作Windows PE光碟ISO文件

windows pe光碟製作ISO文件是很簡單的，下面我們來具體的闡述一下吧。 製作Windows PE光碟ISO文件前，首先需要安裝PE Builder並完成所有軟體的集成。製作Windows PE光碟ISO文件的方法：第1步，在PE Builder窗口工具欄中選中「製作ISO映像檔」單選鈕，並單擊右側的瀏覽按鈕選擇ISO映像文件的保存位置。然後單擊「產生」按鈕。第2步，打開「Create directory（創建目錄）」對話框，提示用戶是否創建BartPE文件夾。單擊「是」按鈕。第3步，在打開的「Windows版權」對話框中直接單擊「我同意」按鈕，PE Builder開始復制相關文件，並製作ISO文件。製作完成後單擊「關閉」按鈕即可。第4步，在PE Builder窗口工具欄中單擊「離開」按鈕關閉PE Builder，然後打開保存ISO文件的文件夾，用戶可以看到製作的ISO文件。

㈦ 用ResHacker修改版權後的文件怎麼提示「不是有效的win32程序啊」

文件頭被你損壞了,windoows識別不出這個pe文件

補充:怎麼修改看具體情況,先確定這個程序沒有加殼和其它保護措施,自己去網上看下PE的文件格式吧,exescope也不錯

㈧ 有個PE文件修改器，界面是熊貓的那個軟體，是叫什麼名字的

只胖墩墩的卡通熊貓近日在網路上迅速躥紅。24歲的上海小夥子林無知賦予了這只叫Nonopanda的「中國熊貓」無窮活力。然而，人氣越高，煩惱越多，林無知有點「拔劍四顧心茫然」。除了手捧超高人氣的動漫形象版權外，他缺乏運作資金，沒營銷團隊，也難以預測這個原創卡通形象的未來。這些煩惱正是當今很多中國年輕創意者們所共有的。

作品人氣頗高

邁克爾·傑克遜過世，林無知迅速更新了Nonopanda的紀念頭像；《變形金剛》上映，擎天柱版的Nonopanda也隨之誕生……搞怪的表情系列，緬懷經典卡通的COSPLAY系列更是社交網站上的熱門轉帖。

最讓這只熊貓出風頭的，是《Nonopanda劇場之懷舊動畫串燒》，僅在開心網上，這部動畫短片的瀏覽量就超過100萬次。該片把上個世紀80年代末90年代初的經典動漫形象以Nonopanda的姿態重新演繹，在專業Flash網站「閃客帝國」上連續數周排名第一。網友小肥兔評論道：「勾起了許多童年的回憶，太經典了。」

生活創作矛盾

然而讓林無知沮喪的是，人氣如此高漲的原創動漫形象，多次被圈內人肯定，但幾次商業合作談判都以對方出價太低而失敗告終。得不到資金的支持，小林只能依靠個人力量堅持繪畫。「網友的掌聲固然對我很重要，但我要為Nonopanda找到發展的道路。」

林無知對自己現有的生活狀態也不滿意，為了糊口，他為一些動漫工作室打工，太多時間耗在接外單上。每天收工後，才能進行自己的創作。「我的月收入在4000元左右，如果外單做得多，收入是高了，但Nonopanda的創作勢必受影響。」

小林有點羨慕網路寫手，網路小說點擊量超過百萬的，出版社爭先恐後地搶購版權，網路作家個個身價不菲。「我Flash點擊量這么大，卻一分錢也拿不到。」

期待明確方向

目前的QQ\MSN表情系列，林無知都打包放在博客上，供人們免費下載。「有人在外地公交車上看到我的FLASH，叫我去收版權費，我只好笑笑，現階段我得感謝他們幫Nonopanda打廣告。」

林無知在有限的時間里為Nonopanda的將來作謀劃。一邊要保證日誌的更新，繪出Nonopanda的日常生活，另一方面則著手開發T恤衫、布偶、環保袋等周邊潮人產品，通過銷售獲得資金。他也考慮過和動漫公司合作，寫個好的劇本，改成動畫片播映。與此同時，還想通過出版等渠道，得到主流人群的認可，申請到支持動漫發展的創意基金。如此鬍子眉毛一把抓，到底該先干什麼？「每天都有朋友提建議給我，我想做的事情也很多，但是沒有個頭緒。」胖乎乎的林無知誠懇地說，他迫切需要有專業人士指點方向。

具體的請看鏈接
紅色部隊唱的《累》
歌詞是
太陽在天上放著光輝
我地眼前一片漆黑
身上蓋者薄薄的薄被
夢中有個姑娘和我相依偎
總想嘗嘗愛的滋味
可卻總沒有這種機會
空當地房間里沒人來作陪
只有去那街上看看姑娘的腿

想要上學可學費太貴
想要工作我又嫌累
吃的貴,喝的貴,自行車要上稅
這一天,那一夜,空度這年歲
想去那玻璃做得飯店去睡
想去那大會堂開個小會
想著那漂亮的姑娘和我伴隨
想著那美麗的夢不在破碎

我想堅強也想倔強
可我沒有勇氣,予以誠輝
光陰似流水,時間那麼珍貴
今天你我依舊什麼都不會
我不想荒廢,也不想累贅
怕的是這一切全都白費
我的疲憊,我的受罪
這個世界為什麼讓我這么累

㈨ 誰能解釋一下軟體加殼有什麼用處 除了用於病毒軟體 具體有什麼作用

（一）殼的概念

作者編好軟體後，編譯成exe可執行文件。 1.有一些版權信息需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟體不被破解，通常都是採用加殼來進行保護。 2.需要把程序搞的小一點，從而方便使用。於是，需要用到一些軟體，它們能將exe可執行文件壓縮， 3.在黑客界給木馬等軟體加殼脫殼以躲避殺毒軟體。實現上述功能，這些軟體稱為加殼軟體。

（二）加殼軟體最常見的加殼軟體ASPACK ，UPX，PEcompact 不常用的加殼軟體WWPACK32；PE-PACK ；PETITE NEOLITE

（三）偵測殼和軟體所用編寫語言的軟體，因為脫殼之前要查他的殼的類型。 1.偵測殼的軟體fileinfo.exe 簡稱fi.exe（偵測殼的能力極強） 2.偵測殼和軟體所用編寫語言的軟體language.exe（兩個功能合為一體，很棒） 推薦language2000中文版（專門檢測加殼類型） 3.軟體常用編寫語言Delphi，VisualBasic（VB）---最難破，VisualC（VC）
（四）脫殼軟體。軟體加殼是作者寫完軟體後，為了保護自己的代碼或維護軟體產權等利益所常用到的手段。目前有很多加殼工具，當然有盾，自然就有矛，只要我們收集全常用脫殼工具，那就不怕他加殼了。軟體脫殼有手動脫和自動脫殼之分，下面我們先介紹自動脫殼，因為手動脫殼需要運用匯編語言，要跟蹤斷點等，不適合初學者，但我們在後邊將稍作介紹。

加殼一般屬於軟體加密，現在越來越多的軟體經過壓縮處理，給漢化帶來許多不便，軟體漢化愛好者也不得不學習掌握這種技能。現在脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水平要求，涉及到很多匯編語言和軟體調試方面的知識。而自動就是用專門的脫殼工具來脫，最常用某種壓縮軟體都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付目前各種壓縮軟體的壓縮檔。在這里介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道文件的加密方式，就可以使用不同的工具、不同的方法進行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施，供大家參考：脫殼的基本原則就是單步跟蹤，只能往前，不能往後。脫殼的一般流程是：查殼->尋找OEP->Dump->修復找OEP的一般思路如下：先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常，找到對應的popad後就能到入口，跳到入口的方式一般為。我們知道文件被一些壓縮加殼軟體加密，下一步我們就要分析加密軟體的名稱、版本。因為不同軟體甚至不同版本加的殼，脫殼處理的方法都不相同。

常用脫殼工具： 1、文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan， 2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 3、mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE 4、PE文件編輯工具PEditor，ProcDump32，LordPE 5、重建Import Table工具：ImportREC，ReVirgin 6、ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了（2）ASProtect+aspack：次之，國外的軟體多用它加殼，脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。 （3）Upx： 可以用UPX本身來脫殼，但要注意版本是否一致，用-D 參數 （4）Armadill：可以用SOFTICE+ICEDUMP脫殼，比較煩 （5）Dbpe： 國內比較好的加密軟體，新版本暫時不能脫，但可以破解 （6）NeoLite：可以用自己來脫殼 （7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脫殼 （8）Pecompat：用SOFTICE配合PEDUMP32來脫殼，但不要專業知識 （9）Petite：有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識（10）WWpack32：和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合 PEDUMP32脫殼 我們通常都會使用Procmp32這個通用脫殼軟體，它是一個強大的脫殼軟體，他可以解開絕大部分的加密外殼，還有腳本功能可以使用腳本輕松解開特定外殼的加密文件。另外很多時候我們要用到exe可執行文件編輯軟體ultraedit。我們可以下載它的漢化注冊版本，它的注冊機可從網上搜到。ultraedit打開一個中文軟體，若加殼，許多漢字不能被認出 ultraedit打開一個中文軟體，若未加殼或已經脫殼，許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉，以後它的用處還很多，請熟練掌握例如，可用它的替換功能替換作者的姓名為你的姓名注意位元組必須相等，兩個漢字替兩個，三個替三個，不足處在ultraedit編輯器左邊用00補。

㈩ pe文件頭位置

PE文件的DOS頭:
typedef struct _IMAGE_DOS_HEADER {// DOS .EXE 頭
WORD e_magic; // DOS .EXE頭的標志」MZ」
WORD e_cblp;
WORD e_cp;
WORD e_crlc;
WORD e_cparhdr;
WORD e_minalloc;
WORD e_maxalloc;
WORD e_ss; //初始化堆棧指針SS
WORD e_sp;// 初始化堆棧指針
WORD e_csum;
WORD e_ip;// 初始化IP就是DOS代碼入口IP
WORD e_cs;// 初始化CS就是DOS代碼入口CS
WORD e_lfarlc;
WORD e_ovno;
WORD e_res[4];
WORD e_oemid;
WORD e_oeminfo;
WORD e_res2[10];
LONG e_lfanew;// PE頭的文件偏移
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;//PE文件的標志」PE」
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

IMAGE_FILE_HEADER結構:
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;//PE文件運行平台,如果系統檢測到和當前平台不相同就拒絕裝入
WORD NumberOfSections;//文件的節數目,這個值是包含最後的空節的
DWORD TimeDateStamp;//文件的創建時間這個是從1969.12.31 16時開始的總秒數
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;//IMAGE_OPTIONAL_HEADER32結構的長度
WORD Characteristics;//文件的屬性說明這個文件時EXE,DLL,驅動程序……
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

IMAGE_OPTIONAL_HEADER32結構:
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic;//ROM Image=0x0018 0x0107;exe Image=0x010B
BYTE MajorLinkerVersion;//連接器版本號
BYTE MinorLinkerVersion;
DWORD SizeOfCode;//所有代碼的總大小
DWORD SizeOfInitializedData;//所有含已初始化數據的節的總大小
DWORD SizeOfUninitializedData;//所有含未初始化數據節的總大小
DWORD AddressOfEntryPoint;//程序入口RVA
DWORD BaseOfCode;//代碼起始RVA
DWORD BaseOfData;//數據起始RVA
DWORD ImageBase;//建議裝載的地址
DWORD SectionAlignment;//裝入內存後的對齊粒度
DWORD FileAlignment;//在在文件中的對齊粒度
WORD MajorOperatingSystemVersion;//操作系統版本號
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;//可運行於操作系統的最小版本號
WORD MinorImageVersion;
WORD MajorSubsystemVersion;//可運行的子系統版本號
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;//未用
DWORD SizeOfImage;內存中整個PE映像的尺寸
DWORD SizeOfHeaders;//所有頭和節表的尺寸
DWORD CheckSum;
WORD Subsystem;//文件的子系統
WORD DllCharacteristics;
DWORD SizeOfStackReserve;//初始化時堆棧的大小
DWORD SizeOfStackCommit;//初始化時實際提交的堆棧大小
DWORD SizeOfHeapReserve;//初始化時保留的堆大小
DWORD SizeOfHeapCommit;//初始化時實際提交的堆大小
DWORD LoaderFlags;//未用
DWORD NumberOfRvaAndSizes;下面的數據目錄結構的數量
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//16個//IMAGE_DATA_DIRECTORY結構體數組
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;//數據塊的起始RVA
DWORD Size;//數據塊的大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

IMAGE_OPTIONAL_HEADER32中的DataDirectory結構數組各個表項的含義如下:
索引 對應數據塊的作用
0 導入表
1 導出表
2 資源
3 異常
4 安全
5 重定位表
6 調試信息
7 版權信息
8 不詳
9 Thread Local Storage
10 不詳
11 不詳
12 導入函數地址表
13 不詳
14 不詳
15 未使用
這就是Pe文件頭...