pe文件版权

㈠ 这里面的“CHI”什么意思

CIH病毒
目录·CIH病毒简介
·CIH病毒破坏哪一类BIOS
·CIH病毒的版本
·CIH病毒发作特征
·感染CIH病毒的特征
·来源
·小结

CIH病毒简介

CIH病毒传播的主要途径是Internet和电子邮件，当然随着时间的推移，它也会通过软盘或光盘的交流传播。据悉，权威病毒搜集网目前报道的CIH病毒， “原体”加“变种”一共有五种之多，相互之间主要区别在于“原体”会使受感染文件增长，但不具破坏力；而“变种”不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种“变种”，每月26日都会发作。

CIH病毒只感染Windows 95/98操作系统，从目前分析来看，它对DOS操作系统似乎还没有什么影响，所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒“变种”在每年4月26日（有一种变种是每月26日）都会发作。发作时硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失。CIH病毒发作后，就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的BIOS，被破坏的主板只能送回原厂修理，重新烧入BIOS。

CIH病毒破坏哪一类BIOS
当然，CIH对BIOS的破坏，也并非想像中的那么可怕。 现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。 但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。 改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。 需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。

CIH病毒的版本

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好像没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

1.0：最初的 V1.0版本仅仅只有 656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

1.1：当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

1.2：当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

1.3：原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP压缩包在自解压时出现如下的错误警告信息： WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

1.4：此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作特征

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息将被清除。

感染CIH病毒的特征
由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行： inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点劝查找键”即可开始查找工作。如果在查找过程中， 显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。

实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。

一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串，以判断是否感染了CIH病毒。 另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。

还听说凡是感染了CIH病毒的机器，如果玩NEED FOR SPEED II游戏时，会在读取游戏光盘时出现死机现象， 本人没有尝试过，不知道实际上是不是有这一情况存在。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。

另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可（此处以一个被感染的CALC.EXE程序为例），具体方法为：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到数据“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”（OXOO4021CB），将此值减去OX40000，将得数--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”点偏移0x28的位置即可（此处为Windows PE格式程序的入口点，术语称为Program Entry Point）。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。 按照上面手工杀毒的方法一般适合于某些单独的软件（例如某些软件包含在软盘中，却被感染了CIH不读，可现在就要用，呵呵！）。使用上述方法的缺点在于病毒体还将保留在可执行文件中，虽然不会起作用， 但是想起来可能会有点不舒服（记得“WPS2000测试版残留CIH病毒尸体”的事件么？）。所以，想彻底杀灭，推荐使用某些反病毒软件进行或是CIH专用杀毒工具（以上操作以及使用反病毒软件进行杀毒，必须使用干净的系统盘启动计算机）。

㈡ biOS病毒的问题

著名的CIH病毒。
CIH病毒，别名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等，属文件型病毒，由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，CIH病毒感染windows95/98系统下的可执行（EXE）文件，当一个染毒的EXE文件被执行，CIH病毒驻留内存，当其他程序被访问时对它们进行感染。
CIH病毒主要传播媒体是网络--因特网和局域网，光盘--主要是盗版光盘、软盘，最早于通过盗版软件（包括一些流行的游戏软件“古墓奇兵”）传播，速度急快。由于因特网的普及， 因特网已成为最主要的传播途径。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的后缀为exe、com、vxd、vxe 的应用程序，并且连自解压文件均受感染，CIH病毒感染硬盘上的所有逻辑驱动器。如果多次重新从C盘启动计算机，就为CIH病毒创造了破坏计算机主板BIOS的机会。CIH病毒只能破坏那些可升级的BIO S（FLASH型），它对后一种BIOS只是使CMOS的参数回到计算机出厂时的设置。 CIH病毒对BIOS的破坏除了每月的26日外，在其他日子只要多次热启动，同样会造成破坏。
1998年6月初在台湾被发现之后，便开始在全球爆发，正是因为CIH病毒独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播，在短短几个月内一跃进入流行病毒的前十名。

CIH变种发展的5个版本：
CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破坏性，感染Windows PE可执行文件。v1.1版本能自动判断运行系统，如是Windows NT，则自我隐藏，被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码，成为恶性病毒。感染ZIP自解压包文件，导致ZIP压缩包在解压时出现错误警告信息，发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序，发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息，发作日为每月26日。

CIH病毒v1.0版本：
最初的 V1.0版本仅仅只有 656字节， 其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：
当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”， 将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：
当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时， 将导致此ZIP压缩包在自解压时出现：
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是： 一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：
此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

CIH病毒快速传播的时间表：
1998/6/2 台湾传出首例CIH病毒报告
1998/6/6 发现CIH V1.2版本
1998/6/12 发现CIH V1.3版本
1998/6/26 CIH V1.3版本造成一定程度的破坏
1998/6/30 发现CIH V1.4版本
1998/7 在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
1998年7月26日，CIH病毒开始在美国大面积传播；
1998/8 在Wing Commander 游戏站点发现DEMO被感染
1998/8 两家欧洲的PC游戏杂志光盘被发现感染CIH
1998/8/26 CIH 1.4 版本爆发, 首次在全球蔓延
1998年8月26日，该病毒入侵中国
1998年8月31日，公安部发出紧急通知，新华社、中央台新闻联播全文播发
1998/9 Yamaha 为某个类型的CD-R驱动编写的软件被感染CIH
1998/10 一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999/3 CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装
1999/4/26 CIH 1.2 版本首次大范围爆发 ，全球超过六千万台电脑被不同程度破坏
2000/4/26 CIH 1.2 版本第二次大范围爆发 ，全球损失超过十亿美元；
2001/4/26 CIH 第三次大范围爆发 ，仅北京就有超过六千台电脑遭CIH破坏
2002/4/26至今，CIH病毒发作趋缓，但江民客户服务部每年仍会接到数十例感染CIH病毒的用户求救。

CIH为什么这么“厉害”？
当CIH病毒发作时它会覆盖掉硬盘中的绝大多数数据，这样只能从最新的备份中恢复； 该病毒还有另一种破坏方式：即试图覆盖Flash BIOS中的数据。一旦Flash BIOS被覆盖掉，那么机器将不能启动，只有将Flash BIOS进行重写之后才行。Flash BIOS存在于多种类型达的PENTIUM机器中，象Intel 430TX，在大多数机器中Flash BIOS通过一个跳线保护，通常情况下，保护是关闭的。
CIH病毒感染windows可执行文件（EXE），它不感染word和excel文档。CIH感染win95/98系统，却不能感染windows NT系统。
CIH病毒采取一种特殊的方式对可执行文件进行感染，感染后的文件大小根本没有变化，病毒代码的大小在1K左右。为了获取对系统文件的调用，该病毒跟踪处理器0环到3环的跳转。

感染CIH病毒后会出现如下症状：
系统不能正常启动，这时如果重新热启动，将会给病毒破坏 BIOS带来机会，如果是不可升级的BIOS将会使CMOS参数变为出厂时的状态，如果是可升级的BIOS将使主板受到破坏。应用程序不能正常运行，并莫明其妙地出现死机现象。系统不能正常关闭，当系统出现“Windows正在关机......”画面时会出现死机， 这时如果热启动，将可能使硬件受破坏。另外，感染CIH病毒的软件体积增大，程序被破坏。

判断是否感染CIH病毒的三种方法
1、由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行：
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。
具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具 > 查找 > 文件或文件夹”， 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字” 栏中输入要查找的特征字符串----“CIH v”，最后点取“查找键”即可开始查找工作。如果在查找过程中，显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。
实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下， 推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串，以判断是否感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550， 其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值， 则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。
2、感染到CIH v1．2版，则所有WinZip自解压文件均无法自动解开，同时会出现WinZip自解压首部中断。可能原因：磁盘或文件传输错误。这个信息。感染到CI?Hv1．3版则部分WinZip自解压文件无法自动解开。 有的还会造成MAGICZIP不能安装，如果遇到以上情况，有可能就是感染上CIH病毒了。
3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别，认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时，有可能就会是有CIH病毒存在了。

防范和对付CIH病毒
对付 CIH病毒关键是如何防范。首先，不要用盗版软件，坚持使用正版软件。其次，对网络上、光盘和软盘上的软件在安装或使用前一律用杀毒软件进行检查，要求所有的杀毒软件要有查杀自解压或压缩包中CIH病毒的能力。 第三，可在 windos系统中安装查杀 CIH病毒的全天候实施监视软件，并且定期运行杀毒软件，对系统程序和应用程序进行全面的扫描。

如果已经受到 CIH病毒的感染该怎样办呢？首先用户应该确定自己计算机主板的BIOS是那种类型的，如果是不可升级型的，用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件对系统软件造成破坏后该怎样办呢？首先使用杀毒软件对硬盘进行彻底杀毒，之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装，这种方法较简单，但会造成硬盘空间的浪费，因为这将带来一些垃圾文件；另一种方法是将用户的重要数据进行备分，之后对硬盘进行格式化，重新安装系统程序和应用程序，这样能节省硬盘空间。

㈢ U盘PE中的PE是什么意思

相当于一个精简的系统，Microsoft Windows 预安装环境（Windows PE）。

1、全称 Windows Preinstallation Environment，DOS下工作的图形界面，相当于启动盘，但比启动盘功能强，是一个基于WindowsXP核心的迷你操作系统，也可以讲是XP的精简版。

2、Windows PE是Windows系统下的可执行文件的一种（还有NE、LE），是微软设计、TIS（Tool Interface Standard,工具接口标准）委员会批准的一种可执行文件格式。

3、PE的意思是Portable Executable（可移植可执行）。所有Windows下的32位或64位可执行文件都是PE文件格式，其中包括DLL、EXE、FON、OCX、LIB和部分SYS文件。

4、Windows PE以ISO光盘或其他可携设备作媒介，下载后直接刻盘在BIOS里设置光盘启动，然后Windows PE会自动引导进入一个命令行界面，可以读写FAT32、NTFS等格式的分区，可以对硬盘分区、格式化（可以格成NTFS的）。

5、Windows PE启动后支持IPv4和IPv6，还可以使用网络环境。使用net命令，就可以简单地访问服务器。

(3)pe文件版权扩展阅读：

Windows PE主要的使用环境是虚拟机，虚拟机环境与实际PC环境几乎没有区别，如果用户不清楚虚拟机也没关系，就当是在真实PC上直接运行。

将BIOS中设置成光驱引导，并开始启动系统，当屏幕画面上出现“Press any key boot from cd”时，按任意键从光驱上的Windows PE引导启动。

如果用户的存储设备驱动不被支持，在启动时按下F6键可加载特殊设备的驱动。当启动到桌面时系统会做一些如调整分辨率的工作，最后打开默认的CMD命令行解释工具。

Windows PE启动相当快捷，而且对启动环境要求不高，其功能几乎相当于安装了一个 Windows 的命令行版本。因此，对于个人计算机用户，只要将其写入U盘（或刻录在一张光碟上），便可放心地去解决初始化系统之类的问题。

网络—Windows PE

网络—PE

㈣ Winpe 系统 是微软的版权吗有盗版之说吗

Windows PE = Windows PreInstallation Environment，Windows预安装抄环境，微软在袭2002年7月22日发布，带有限服务的最小Win32子系统，基于以保护模式运行的Windows XP Professional内核。
PE本身是免费的

㈤ 全世界最牛B的病毒是

没有最牛B，只有没得救。

㈥ 如何制作Windows PE光盘ISO文件

windows pe光盘制作ISO文件是很简单的，下面我们来具体的阐述一下吧。 制作Windows PE光盘ISO文件前，首先需要安装PE Builder并完成所有软件的集成。制作Windows PE光盘ISO文件的方法：第1步，在PE Builder窗口工具栏中选中“制作ISO映像档”单选钮，并单击右侧的浏览按钮选择ISO映像文件的保存位置。然后单击“产生”按钮。第2步，打开“Create directory（创建目录）”对话框，提示用户是否创建BartPE文件夹。单击“是”按钮。第3步，在打开的“Windows版权”对话框中直接单击“我同意”按钮，PE Builder开始复制相关文件，并制作ISO文件。制作完成后单击“关闭”按钮即可。第4步，在PE Builder窗口工具栏中单击“离开”按钮关闭PE Builder，然后打开保存ISO文件的文件夹，用户可以看到制作的ISO文件。

㈦ 用ResHacker修改版权后的文件怎么提示“不是有效的win32程序啊”

文件头被你损坏了,windoows识别不出这个pe文件

补充:怎么修改看具体情况,先确定这个程序没有加壳和其它保护措施,自己去网上看下PE的文件格式吧,exescope也不错

㈧ 有个PE文件修改器，界面是熊猫的那个软件，是叫什么名字的

只胖墩墩的卡通熊猫近日在网络上迅速蹿红。24岁的上海小伙子林无知赋予了这只叫Nonopanda的“中国熊猫”无穷活力。然而，人气越高，烦恼越多，林无知有点“拔剑四顾心茫然”。除了手捧超高人气的动漫形象版权外，他缺乏运作资金，没营销团队，也难以预测这个原创卡通形象的未来。这些烦恼正是当今很多中国年轻创意者们所共有的。

作品人气颇高

迈克尔·杰克逊过世，林无知迅速更新了Nonopanda的纪念头像；《变形金刚》上映，擎天柱版的Nonopanda也随之诞生……搞怪的表情系列，缅怀经典卡通的COSPLAY系列更是社交网站上的热门转帖。

最让这只熊猫出风头的，是《Nonopanda剧场之怀旧动画串烧》，仅在开心网上，这部动画短片的浏览量就超过100万次。该片把上个世纪80年代末90年代初的经典动漫形象以Nonopanda的姿态重新演绎，在专业Flash网站“闪客帝国”上连续数周排名第一。网友小肥兔评论道：“勾起了许多童年的回忆，太经典了。”

生活创作矛盾

然而让林无知沮丧的是，人气如此高涨的原创动漫形象，多次被圈内人肯定，但几次商业合作谈判都以对方出价太低而失败告终。得不到资金的支持，小林只能依靠个人力量坚持绘画。“网友的掌声固然对我很重要，但我要为Nonopanda找到发展的道路。”

林无知对自己现有的生活状态也不满意，为了糊口，他为一些动漫工作室打工，太多时间耗在接外单上。每天收工后，才能进行自己的创作。“我的月收入在4000元左右，如果外单做得多，收入是高了，但Nonopanda的创作势必受影响。”

小林有点羡慕网络写手，网络小说点击量超过百万的，出版社争先恐后地抢购版权，网络作家个个身价不菲。“我Flash点击量这么大，却一分钱也拿不到。”

期待明确方向

目前的QQ\MSN表情系列，林无知都打包放在博客上，供人们免费下载。“有人在外地公交车上看到我的FLASH，叫我去收版权费，我只好笑笑，现阶段我得感谢他们帮Nonopanda打广告。”

林无知在有限的时间里为Nonopanda的将来作谋划。一边要保证日志的更新，绘出Nonopanda的日常生活，另一方面则着手开发T恤衫、布偶、环保袋等周边潮人产品，通过销售获得资金。他也考虑过和动漫公司合作，写个好的剧本，改成动画片播映。与此同时，还想通过出版等渠道，得到主流人群的认可，申请到支持动漫发展的创意基金。如此胡子眉毛一把抓，到底该先干什么？“每天都有朋友提建议给我，我想做的事情也很多，但是没有个头绪。”胖乎乎的林无知诚恳地说，他迫切需要有专业人士指点方向。

具体的请看链接
红色部队唱的《累》
歌词是
太阳在天上放着光辉
我地眼前一片漆黑
身上盖者薄薄的薄被
梦中有个姑娘和我相依偎
总想尝尝爱的滋味
可却总没有这种机会
空当地房间里没人来作陪
只有去那街上看看姑娘的腿

想要上学可学费太贵
想要工作我又嫌累
吃的贵,喝的贵,自行车要上税
这一天,那一夜,空度这年岁
想去那玻璃做得饭店去睡
想去那大会堂开个小会
想着那漂亮的姑娘和我伴随
想着那美丽的梦不在破碎

我想坚强也想倔强
可我没有勇气,予以诚辉
光阴似流水,时间那么珍贵
今天你我依旧什么都不会
我不想荒废,也不想累赘
怕的是这一切全都白费
我的疲惫,我的受罪
这个世界为什么让我这么累

㈨ 谁能解释一下软件加壳有什么用处 除了用于病毒软件 具体有什么作用

（一）壳的概念

作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件ASPACK ，UPX，PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE NEOLITE

（三）侦测壳和软件所用编写语言的软件，因为脱壳之前要查他的壳的类型。 1.侦测壳的软件fileinfo.exe 简称fi.exe（侦测壳的能力极强） 2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒） 推荐language2000中文版（专门检测加壳类型） 3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）
（四）脱壳软件。软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。目前有很多加壳工具，当然有盾，自然就有矛，只要我们收集全常用脱壳工具，那就不怕他加壳了。软件脱壳有手动脱和自动脱壳之分，下面我们先介绍自动脱壳，因为手动脱壳需要运用汇编语言，要跟踪断点等，不适合初学者，但我们在后边将稍作介绍。

加壳一般属于软件加密，现在越来越多的软件经过压缩处理，给汉化带来许多不便，软件汉化爱好者也不得不学习掌握这种技能。现在脱壳一般分手动和自动两种，手动就是用TRW2000、TR、SOFTICE等调试工具对付，对脱壳者有一定水平要求，涉及到很多汇编语言和软件调试方面的知识。而自动就是用专门的脱壳工具来脱，最常用某种压缩软件都有他人写的反压缩工具对应，有些压缩工具自身能解压，如UPX；有些不提供这功能，如：ASPACK，就需要UNASPACK对付，好处是简单，缺点是版本更新了就没用了。另外脱壳就是用专门的脱壳工具来对付，最流行的是PROCDUMP v1.62 ，可对付目前各种压缩软件的压缩档。在这里介绍的是一些通用的方法和工具，希望对大家有帮助。我们知道文件的加密方式，就可以使用不同的工具、不同的方法进行脱壳。下面是我们常常会碰到的加壳方式及简单的脱壳措施，供大家参考：脱壳的基本原则就是单步跟踪，只能往前，不能往后。脱壳的一般流程是：查壳->寻找OEP->Dump->修复找OEP的一般思路如下：先看壳是加密壳还是压缩壳，压缩壳相对来说容易些，一般是没有异常，找到对应的popad后就能到入口，跳到入口的方式一般为。我们知道文件被一些压缩加壳软件加密，下一步我们就要分析加密软件的名称、版本。因为不同软件甚至不同版本加的壳，脱壳处理的方法都不相同。

常用脱壳工具： 1、文件分析工具（侦测壳的类型）：Fi，GetTyp，peid，pe-scan， 2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 3、mp工具：IceDump，TRW，PEditor，ProcDump32，LordPE 4、PE文件编辑工具PEditor，ProcDump32，LordPE 5、重建Import Table工具：ImportREC，ReVirgin 6、ASProtect脱壳专用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只对ASPr V1.1有效），loader，peid（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱壳就行了（2）ASProtect+aspack：次之，国外的软件多用它加壳，脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识，但最新版现在暂时没有办法。 （3）Upx： 可以用UPX本身来脱壳，但要注意版本是否一致，用-D 参数 （4）Armadill：可以用SOFTICE+ICEDUMP脱壳，比较烦 （5）Dbpe： 国内比较好的加密软件，新版本暂时不能脱，但可以破解 （6）NeoLite：可以用自己来脱壳 （7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE来脱壳 （8）Pecompat：用SOFTICE配合PEDUMP32来脱壳，但不要专业知识 （9）Petite：有一部分的老版本可以用PEDUMP32直接脱壳，新版本脱壳时需要用到SOFTICE+ICEDUMP，需要一定的专业知识（10）WWpack32：和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳，不过有时候资源无法修改，也就无法汉化，所以最好还是用SOFTICE配合 PEDUMP32脱壳 我们通常都会使用Procmp32这个通用脱壳软件，它是一个强大的脱壳软件，他可以解开绝大部分的加密外壳，还有脚本功能可以使用脚本轻松解开特定外壳的加密文件。另外很多时候我们要用到exe可执行文件编辑软件ultraedit。我们可以下载它的汉化注册版本，它的注册机可从网上搜到。ultraedit打开一个中文软件，若加壳，许多汉字不能被认出 ultraedit打开一个中文软件，若未加壳或已经脱壳，许多汉字能被认出 ultraedit可用来检验壳是否脱掉，以后它的用处还很多，请熟练掌握例如，可用它的替换功能替换作者的姓名为你的姓名注意字节必须相等，两个汉字替两个，三个替三个，不足处在ultraedit编辑器左边用00补。

㈩ pe文件头位置

PE文件的DOS头:
typedef struct _IMAGE_DOS_HEADER {// DOS .EXE 头
WORD e_magic; // DOS .EXE头的标志”MZ”
WORD e_cblp;
WORD e_cp;
WORD e_crlc;
WORD e_cparhdr;
WORD e_minalloc;
WORD e_maxalloc;
WORD e_ss; //初始化堆栈指针SS
WORD e_sp;// 初始化堆栈指针
WORD e_csum;
WORD e_ip;// 初始化IP就是DOS代码入口IP
WORD e_cs;// 初始化CS就是DOS代码入口CS
WORD e_lfarlc;
WORD e_ovno;
WORD e_res[4];
WORD e_oemid;
WORD e_oeminfo;
WORD e_res2[10];
LONG e_lfanew;// PE头的文件偏移
} IMAGE_DOS_HEADER, *PIMAGE_DOS_HEADER;

typedef struct _IMAGE_NT_HEADERS {
DWORD Signature;//PE文件的标志”PE”
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER32 OptionalHeader;
} IMAGE_NT_HEADERS32, *PIMAGE_NT_HEADERS32;

IMAGE_FILE_HEADER结构:
typedef struct _IMAGE_FILE_HEADER {
WORD Machine;//PE文件运行平台,如果系统检测到和当前平台不相同就拒绝装入
WORD NumberOfSections;//文件的节数目,这个值是包含最后的空节的
DWORD TimeDateStamp;//文件的创建时间这个是从1969.12.31 16时开始的总秒数
DWORD PointerToSymbolTable;
DWORD NumberOfSymbols;
WORD SizeOfOptionalHeader;//IMAGE_OPTIONAL_HEADER32结构的长度
WORD Characteristics;//文件的属性说明这个文件时EXE,DLL,驱动程序……
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

IMAGE_OPTIONAL_HEADER32结构:
typedef struct _IMAGE_OPTIONAL_HEADER {
WORD Magic;//ROM Image=0x0018 0x0107;exe Image=0x010B
BYTE MajorLinkerVersion;//连接器版本号
BYTE MinorLinkerVersion;
DWORD SizeOfCode;//所有代码的总大小
DWORD SizeOfInitializedData;//所有含已初始化数据的节的总大小
DWORD SizeOfUninitializedData;//所有含未初始化数据节的总大小
DWORD AddressOfEntryPoint;//程序入口RVA
DWORD BaseOfCode;//代码起始RVA
DWORD BaseOfData;//数据起始RVA
DWORD ImageBase;//建议装载的地址
DWORD SectionAlignment;//装入内存后的对齐粒度
DWORD FileAlignment;//在在文件中的对齐粒度
WORD MajorOperatingSystemVersion;//操作系统版本号
WORD MinorOperatingSystemVersion;
WORD MajorImageVersion;//可运行于操作系统的最小版本号
WORD MinorImageVersion;
WORD MajorSubsystemVersion;//可运行的子系统版本号
WORD MinorSubsystemVersion;
DWORD Win32VersionValue;//未用
DWORD SizeOfImage;内存中整个PE映像的尺寸
DWORD SizeOfHeaders;//所有头和节表的尺寸
DWORD CheckSum;
WORD Subsystem;//文件的子系统
WORD DllCharacteristics;
DWORD SizeOfStackReserve;//初始化时堆栈的大小
DWORD SizeOfStackCommit;//初始化时实际提交的堆栈大小
DWORD SizeOfHeapReserve;//初始化时保留的堆大小
DWORD SizeOfHeapCommit;//初始化时实际提交的堆大小
DWORD LoaderFlags;//未用
DWORD NumberOfRvaAndSizes;下面的数据目录结构的数量
IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];//16个//IMAGE_DATA_DIRECTORY结构体数组
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

typedef struct _IMAGE_DATA_DIRECTORY {
DWORD VirtualAddress;//数据块的起始RVA
DWORD Size;//数据块的大小
} IMAGE_DATA_DIRECTORY, *PIMAGE_DATA_DIRECTORY;

IMAGE_OPTIONAL_HEADER32中的DataDirectory结构数组各个表项的含义如下:
索引 对应数据块的作用
0 导入表
1 导出表
2 资源
3 异常
4 安全
5 重定位表
6 调试信息
7 版权信息
8 不详
9 Thread Local Storage
10 不详
11 不详
12 导入函数地址表
13 不详
14 不详
15 未使用
这就是Pe文件头...