小編了解到，在各種病毒中，PE病毒數(shù)目最大，傳播最廣，破壞力最強。因為，pe文件病毒的危害性很大的。

PE病毒具有以下特征：

(1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部，修改原程序的入口點以指向病毒體，病毒本身沒有什么危害，但是被感染的文件可能被破壞而不能正常運行。

(2)潛伏性。指病毒依附于其他文件而存在，即通過修改其他程序而把自身的復(fù)制品嵌入到其他程序中。

(3)可觸發(fā)性。即在一定的條件下激活這類病毒的感染機制使之進行感染。

(4)破壞性。病毒一旦感染其他文件，病毒本身沒什么危害，但是會導(dǎo)致被感染的文件丟失數(shù)據(jù)或被破壞而不能正常運行。

最后，佰佰安全網(wǎng)友情提醒，清除PE病毒不光是去除病毒程序，或使病毒程序不能進行，還要盡可能恢復(fù)系統(tǒng)或文件本來面目，以將損失減少至最低程度。清除PE病毒的過程其實可以看作病毒感染宿主程序的逆過程，只要搞清楚病毒的感染機理，清除病毒其實是很容易的。事實上每一種病毒，甚至是每一個病毒的變種，它們的清除方式可能都是不一樣的，所有清除病毒時，一定要針對具體的病毒來進行。

小編了解到，常見的PE文件病毒有以下幾種。

①Win32.Tenga

Win32.Tenga是一個WIN32PE感染性病毒，可以感染普通PE EXE文件并找到自己的代碼加到EXE文件的尾部、修改原程序的入口點以指向病毒體。該病毒本身沒有什么危害，但是被感染的文件可能被破壞而不能正常運行。另外，該病毒還可以感染正常的EXE文件，使其不停的被復(fù)制，即使主機中安裝有防火墻和殺毒軟件也都無法阻止該病毒。

②Win16.HLLP.Hiro.10240

Win16.HLLP.Hiro.10240是利用Pascal編寫的病毒，不會貯存內(nèi)存中，包含“Hiroshima end 000v1.2000：0000”字符串。該病毒在windows目錄中尋找.exe文件并將其復(fù)制到開始文件夾中。可以在以下目錄中查找“Hiro”文件：

小編了解到，PE文件病毒一般采用嵌入宿主程序的方式來進行傳染，利用PE文件中的空隙或增加一節(jié)方法棲身于PE文件中，并將程序入口點指向病毒代碼，當(dāng)文件執(zhí)行時首先執(zhí)行該病毒，然后執(zhí)行宿主程序，其原理與DOS下病毒大同小異，但具體實現(xiàn)方法有許多創(chuàng)新。

pe文件病毒的傳播方式有：盜板光盤、軟盤、安全性不佳的共享網(wǎng)絡(luò)等。

PE病毒常見的感染其他文件的方法是在文件中添加一個新節(jié)，然后往該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼，并修改文件頭中代碼開始執(zhí)行位置(AddressOfEntryPoint)指向新添加的病毒節(jié)的代碼入口，以便程序運行后先執(zhí)行病毒代碼。下面以CIH病毒為例具體分析病毒感染過程：

小編了解到，pe文件病毒可以在安全模式下刪除。

凡是PE文件型病毒，都要尋找一個可執(zhí)行文件的宿主，當(dāng)可執(zhí)行文件被感染時，其表現(xiàn)癥狀為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內(nèi)部信息被修改等。

針對這種癥狀提出一種預(yù)防PE文件型的方法。在源程序中增加自檢及清除病毒的功能。這種方法的優(yōu)點是可執(zhí)行文件從生成起，就有抗病毒的能力，從而可以保證可執(zhí)行文件的干凈。自檢清除功能部分和可執(zhí)行文件的其他部分融為一體，不會和程序的其他功能才沖突，也是病毒制造者無法造出針對性的病毒。可執(zhí)行文件染不上病毒，PE文件型病毒就無法傳播了。

預(yù)防PE文件型病毒方法的核心就是使可執(zhí)行文件具有自檢功能，在被加載時檢測本身的幾項指標(biāo)——文件長度、文件頭部信息、文件內(nèi)部抽樣信息、文件目錄表中有關(guān)信息。其實現(xiàn)的過程是在使用匯編語言或其他高級語言時，先把上述有關(guān)的信息定義為若干大小固定的幾個變量，給每個變量先賦一個值，待匯編或編譯之后，根據(jù)可執(zhí)行文件中的有關(guān)信息，把源程序中的有關(guān)變量進行修改，再重新匯編或編譯，就得到了所需的可執(zhí)行文件。