PE文件

有很多编发可以用来修改PE文件而不变更其行为或对其进行很大的改动，简单列举如下（还有很多）:

• 区段名称 对于一些特殊的文件壳或者压缩器来说，区段的名称没有实际意义。只要保持区块大小 (最多为8个字符) 恒定，你就可以随意变更区段的名称。一些反病毒软件的通用扫描器会匹配文件的区段来判断文件是否是某一类恶意软件的变种。
  
• 时间戳 在某些情况下，某一类恶意软件的变种会带有相同的时间戳 (编译文件的时间 )，有一些反病毒软件的扫描程序会以时间戳作为查杀恶意软件的依据之一。有时，时间戳区域会作为独立的一条扫描特征。自然，时间戳对于操作系统来说没有什么实际意义，可以随意修改，时间戳的值甚至可以为NULL。
  
• 链接器的主副版本号 通常，和时间戳一样，链接器的主副版本号对操作系统来说也没有什么关联。修改链接器的主副版本号不会让PE文件无法正常执行
  
• 操作系统的主副版本号以及镜像文件的主副版本号 和时间戳以及链接器的主副版本号类似，操作系统的主副版本号以及镜像文件的主副版本号的改变，也不会影响PE文件的执行
  
• AddressofEntryPoint值 一般认为AddressOfEntryPoint不能为NULL，但事实上它可以为NULL，表示程序的入口点在偏移量0x00处；准确来讲，是在以魔术字节MZ起始的IMAGE - DOS - HEADER处
  
• 区段数量的最大值 在Windows XP操作平台上，PE文件的区段数量最大值为96，在Windows 7平台上，区段最大数量可以为65 535，出于性能的原因，一些反病毒软件在进行通用病毒扫描前，会首先检查PE文件是否已经损坏，其中一项检查依据就是，预期区段数量值不能大于96，除了Windows XP ( 目前该操作系统已放弃更新支持) 以外，此检査依据对目前任何一款操作系统来说都是错误的。
  
• 文件长度 尽管对于PE文件来说没有特别的规定，但当它们的大小超过某个值的时候通用病毒侦测引擎就会跳过扫描该文件。因此，在不妨碍PE文件正常执行的情况下，可以在文件末尾添加尽可能多的数据，来实现绕过反病毒软件扫描引擎的目的。这样的情况并不少见。比如，因为大多数恶意软件文件都比较小，所以对很多启发式引擎来说，通过跳过扫描一些超大的文件，可以在一定程度上减少性能消耗.
  

JavaScript

黑客可以利用javascript混淆，借助浏览器的漏洞，有道用户访问带有漏洞攻击利用程序的站点，最终感染用户主机，具体的混淆方法笔者不熟悉￣□￣｜｜

PDF