可執行文件

如記事本程序notepad.exe ，這類程序通常用來處理或者輔助處理其它文件。比如：myfile.txt雙擊打開由notepad.exe記事本程序來進行編輯。

我們做一件事，可以把順序以及具體做什麼事寫在mybat.bat文件中，那運行它就可以把要做的事件執行了。

可以理解為：這類文件可以“單獨運行”，或者理解為“有生命”的文件！

如果把它用日常通俗的一點的例子來形容：衣服，鞋子等都是普通的文件，那人就是可執行文件！ 人可以做衣服穿衣服，衣服卻要依靠人來做。布也要由人加工成衣服！

不是所有的執行檔，都只存有電腦能閲讀的資料。以腳本語言撰寫的腳本檔案，都可以是執行檔，而且內含的資料可被人類閲讀，多數以ASCII文本存盤。原因是：腳本語言無需經過編譯器預先編譯，就可經過直譯器（如Perl、Python、Shell）執行

在DOS下，生成一個可執行文件的步驟比較簡單，用編譯器將源程序編譯為obj文件，再用鏈接器將obj文件鏈接成exe文件，不同語言的開發過程都差不多。

DOS可執行文件中的內容是由源程序中所寫的代碼和數據定義轉換而來的。惟一的例外是帶覆蓋部分（Overlay）的exe文件，它在基本的exe文件後附加了一些自定義的數據，其中可執行部分的長度由文件頭偏移0002h和0004h中的長度給出，該長度之後到文件實際長度這部分就是Overlay部分。這樣，即使一個帶覆蓋的exe文件大小遠遠超過640 KB，在DOS下也能運行，因為操作系統只裝入真正的可執行部分，然後由程序自己去讀取覆蓋部分的數據。一些打包軟件生成的奇大無比的自解壓包就採用這種結構，可執行部分是解包代碼，覆蓋部分是被壓縮的數據。DOS對可執行文件覆蓋部分的數據格式並沒有規定，它是程序員按自己的方式組織的。如果程序員願意，也可以把這些數據單獨放在另外一個文件中。

Win32可執行文件叫做PE文件。PE文件的基本結構和DOS可執行文件有很大的不同。它把程序中的不同部分分成各種節區（Section），其中可以有一個節區是放置各種資源的，如菜單、對話框、位圖、光標、圖標和聲音等。雖然可以把資源部分理解成類似DOS可執行文件中的“覆蓋”部分，但由於資源是Win32可執行文件的標準組成部分，而且是非常重要的組成部分，它的格式是固定的。所以與DOS軟件的開發過程相比，Win32軟件的開發中多了一個創建資源文件的步驟。

以使用MASM32軟件包為例，在用Win32彙編開發軟件的流程中，程序員要做的工作分創建代碼和創建資源兩部分，如圖2.1所示。

代碼部分的開發工作與DOS下寫代碼的步驟是一樣的。程序員用文本編輯器書寫彙編源代碼（*.asm文件）。與C源代碼類似，asm文件中也可以用include語句包含數據定義和函數聲明的頭文件，Win32彙編的頭文件一般用inc作擴展名。大部分的include文件是編譯器軟件包附帶提供的，如MASM32軟件包附帶的Windows.inc文件定義了Win32 API中很多參數和數據結構，其他的inc文件則是不同DLL中的Win32 API函數聲明。最後，asm文件經彙編編譯器編譯成以obj為擴展名的目標文件。

資源文件中可以包括對話框、快捷鍵、菜單、字符串、版本信息和一些圖形資源等內容。資源文件的源文件是一種類似“腳本”的文本文件，它的擴展名一般為rc，其中用不同的語法定義了不同類型的資源，資源腳本文件最後由資源編譯器編譯成資源文件*.res。資源腳本文件同樣用到很多預定義值，所以軟件包中一般也包括資源頭文件供源文件來導入。MASM32軟件包中的資源頭文件是Resource.h。

在資源文件中，不同類型資源的記錄方式是不同的。對話框資源只記錄定義值，如對話框的大小、位置等，並非真正存儲對話框最後顯示在屏幕上的像素。這些大小、位置等信息最後由Windows解釋後才在屏幕上被繪畫成像素；菜單、字符串、快捷鍵等由文本構成；圖形資源則真正由像素組成，它們在資源腳本中被定義為一個文件名，由資源編譯器從磁盤文件導入。Windows在資源中支持的圖形文件有bmp位圖文件、cur光標文件和ico圖標文件，這些圖形文件可以用其他圖形處理軟件生成。另外，wav聲音文件也可以用在資源中。創建資源的方法在第5章中有詳細的描述。

編譯好目標文件*.obj和資源文件*.res後，最後一步是用鏈接器將它們鏈接成可執行文件。鏈接的時候要用到函數庫。在DOS環境下編程的時候，使用的函數庫是靜態庫。靜態庫是一些已經編譯好的代碼模塊。當用户在源程序中用到某個函數的時候，鏈接器從庫文件中將這個函數的二進制代碼取出，與obj文件合在一起生成最終的exe文件。但在Win32環境下，大部分的公用函數封裝在DLL文件中，以動態鏈接的方式供用户程序調用。這時候庫文件中只需要包含函數在DLL中的位置信息，不再需要有二進制代碼部分。所以鏈接的時候也只是把庫文件中的位置信息取出放入最後的可執行文件中。Win32中這種只包含位置信息的庫文件稱為導入庫。

病毒的檢測與解除

在計算機病毒中絕大部分是文件型。所謂文件型病毒是指此類病毒寄生在可執行文件上，並依靠可執行文件來傳播。從數學角度而言，解除這種病毒的過程實際上是病毒感染過程的逆過程。通過檢測工作、（跳轉、解碼），已經得到了病毒體的全部代碼，用於還原病毒的數據肯定在病毒體內，只要找到這些數據，依照一定的程式或方法即可將文件恢復，也就是説可以將病毒解除。

這類病毒的種類也比較多，我國發現的第一例病毒--“小球”病毒就是引導型病毒，它們佔據軟盤或硬盤的第一個扇區，在開機後先於操作系統得到對計算機的控制，影響系統的I/O存取速度，干擾系統的正常運行；此類病毒可用地址法、相對法、邏輯法、覆蓋法、特殊法予以解除。

因為內存中的活病毒體會干擾反病毒軟件的檢測結果，所以幾乎所有反病毒軟件設計者都要考慮到內存解毒。新的內存解毒技術是找到病毒在內存中的位置，重構其中部分代碼，使其傳播功能失效。

通過對大量病毒的分析，可以掌握病毒的共性，並按照其發展衍生規律進行分類，總結病毒常用代碼（這些代碼是病毒存在、傳播和發作的根本），以文件中包含這些代碼的加權統計值作為對未知病毒檢測的依據，使用可執行文件格式知識分析啓始代碼，通過一定程度的反彙編和預測跳轉，綜合結果報告未知病毒。這種方法是建立在獨特病毒描述語言基礎上的，具有描述準確、誤報率低等特點。

包裹程序是一些常見的工具軟件，它可以包裹可執行文件，減小磁盤佔用空間，加快運行速度。但把一個病毒包裹後，病毒就會被保護起來，使得各種反病毒軟件無法查到。已被包裹並含有病毒的可執行文件在執行時，病毒會到處傳播，使用反病毒軟件將病毒解除之後，被包裹的可執行文件中的病毒卻保留下來，危害較大。通過特有的解包裹模塊，可以即查解被包裹後的病毒，又不破壞被包裹後沒有病毒的可執行文件。

磁盤上經常會有一些被壓縮工具處理過的文件，這樣做可以節省磁盤空間，便於保密和攜帶。但如果有人無意將病毒傳染的文件使用壓縮工具壓縮了，那麼一般反病毒軟件就無法將病毒從壓縮文件中查出，採用解壓縮算法和流程處理可以根治這種病毒。

對於單機病毒防治，運用以上技術或使用具有相應功能的反病毒軟件即可基本保障計算機系統不受病毒的侵擾。相對於單機病毒的防護來説，網絡病毒的防治具有更大的難度，網絡病毒防治應與網絡管理集成。網絡防病毒最大的優勢在於網絡的管理功能，如果沒有把管理功能加上，很難完成網絡防毒的任務，只有管理與防範相結合，才能保證系統的良好運行。

管理功能就是管理全部的網絡設備和操作：從Hub、交換機、服務器到PC，包括軟盤的存取、局域網上的信息互通及與Internet的接駁等所有病毒能夠感染和傳播的途徑。

一般來講，計算機病毒的防治在於完善操作系統和應用軟件的安全機制，但在網絡環境下，應該相應採取新的防範手段。 在網絡環境下，病毒傳播擴散快，僅用單機反病毒產品已經難以清除網絡病毒，必須有適用於局域網、廣域網的全方位反病毒產品。

為實現計算機病毒的防治，可在計算機網絡系統上安裝網絡病毒防治服務器；可在內部網絡服務器上安裝網絡病毒防治軟件；可在單機上安裝單機環境的反病毒軟件

Linux可執行文件格式為ELF即Executable and Linkable Format。

格式：

ELF header

program header table

.txt .rodata .data

Section header table

Mac可執行文件格式為Mach-O即Mach Object格式。