可執行文件:可由操作系統進行加載執行的文件-中文百科頻道

釋義

我們做一件事，可以把順序以及具體做什麼事寫在mybat.bat文件中，那運行它就可以把要做的事件執行了。

可以理解為：這類文件可以“單獨運行”，或者理解為“有生命”的文件！

如果把它用日常通俗的一點的例子來形容：衣服，鞋子等都是普通的文件，那人就是可執行文件！人可以做衣服穿衣服，衣服卻要依靠人來做。布也要由人加工成衣服！

腳本

不是所有的執行檔，都隻存有電腦能閱讀的資料。以腳本語言撰寫的腳本檔案，都可以是執行檔，而且内含的資料可被人類閱讀，多數以ASCII文本存盤。原因是：腳本語言無需經過編譯器預先編譯，就可經過直譯器（如Perl、Python、Shell）執行

開發過程

在DOS下，生成一個可執行文件的步驟比較簡單，用編譯器将源程序編譯為obj文件，再用鍊接器将obj文件鍊接成exe文件，不同語言的開發過程都差不多。

DOS可執行文件中的内容是由源程序中所寫的代碼和數據定義轉換而來的。惟一的例外是帶複蓋部分（Overlay）的exe文件，它在基本的exe文件後附加了一些自定義的數據，其中可執行部分的長度由文件頭偏移0002h和0004h中的長度給出，該長度之後到文件實際長度這部分就是Overlay部分。

這樣，即使一個帶複蓋的exe文件大小遠遠超過640KB，在DOS下也能運行，因為操作系統隻裝入真正的可執行部分，然後由程序自己去讀取複蓋部分的數據。一些打包軟件生成的奇大無比的自解壓包就采用這種結構，可執行部分是解包代碼，複蓋部分是被壓縮的數據。DOS對可執行文件複蓋部分的數據格式并沒有規定，它是程序員按自己的方式組織的。如果程序員願意，也可以把這些數據單獨放在另外一個文件中。

Win32可執行文件叫做PE文件。PE文件的基本結構和DOS可執行文件有很大的不同。它把程序中的不同部分分成各種節區（Section），其中可以有一個節區是放置各種資源的，如菜單、對話框、位圖、光标、圖标和聲音等。雖然可以把資源部分理解成類似DOS可執行文件中的“複蓋”部分，但由于資源是Win32可執行文件的标準組成部分，而且是非常重要的組成部分，它的格式是固定的。所以與DOS軟件的開發過程相比，Win32軟件的開發中多了一個創建資源文件的步驟。

以使用MASM32軟件包為例，在用Win32彙編開發軟件的流程中，程序員要做的工作分創建代碼和創建資源兩部分，如圖2.1所示。

代碼部分的開發工作與DOS下寫代碼的步驟是一樣的。程序員用文本編輯器書寫彙編源代碼（*.asm文件）。與C源代碼類似，asm文件中也可以用include語句包含數據定義和函數聲明的頭文件，Win32彙編的頭文件一般用inc作擴展名。大部分的include文件是編譯器軟件包附帶提供的，如MASM32軟件包附帶的Windows.inc文件定義了Win32API中很多參數和數據結構，其他的inc文件則是不同DLL中的Win32API函數聲明。最後，asm文件經彙編編譯器編譯成以obj為擴展名的目标文件。

資源文件中可以包括對話框、快捷鍵、菜單、字符串、版本信息和一些圖形資源等内容。資源文件的源文件是一種類似“腳本”的文本文件，它的擴展名一般為rc，其中用不同的語法定義了不同類型的資源，資源腳本文件最後由資源編譯器編譯成資源文件*.res。資源腳本文件同樣用到很多預定義值，所以軟件包中一般也包括資源頭文件供源文件來導入。MASM32軟件包中的資源頭文件是Resource.h。

在資源文件中，不同類型資源的記錄方式是不同的。對話框資源隻記錄定義值，如對話框的大小、位置等，并非真正存儲對話框最後顯示在屏幕上的像素。這些大小、位置等信息最後由Windows解釋後才在屏幕上被繪畫成像素；菜單、字符串、快捷鍵等由文本構成；圖形資源則真正由像素組成，它們在資源腳本中被定義為一個文件名，由資源編譯器從磁盤文件導入。Windows在資源中支持的圖形文件有bmp位圖文件、cur光标文件和ico圖标文件，這些圖形文件可以用其他圖形處理軟件生成。另外，wav聲音文件也可以用在資源中。創建資源的方法在第5章中有詳細的描述。

編譯好目标文件*.obj和資源文件*.res後，最後一步是用鍊接器将它們鍊接成可執行文件。鍊接的時候要用到函數庫。在DOS環境下編程的時候，使用的函數庫是靜态庫。靜态庫是一些已經編譯好的代碼模塊。當用戶在源程序中用到某個函數的時候，鍊接器從庫文件中将這個函數的二進制代碼取出，與obj文件合在一起生成最終的exe文件。但在Win32環境下，大部分的公用函數封裝在DLL文件中，以動态鍊接的方式供用戶程序調用。這時候庫文件中隻需要包含函數在DLL中的位置信息，不再需要有二進制代碼部分。所以鍊接的時候也隻是把庫文件中的位置信息取出放入最後的可執行文件中。Win32中這種隻包含位置信息的庫文件稱為導入庫。

防毒

病毒的檢測與解除

文件型病毒

在計算機病毒中絕大部分是文件型。所謂文件型病毒是指此類病毒寄生在可執行文件上，并依靠可執行文件來傳播。從數學角度而言，解除這種病毒的過程實際上是病毒感染過程的逆過程。通過檢測工作、（跳轉、解碼），已經得到了病毒體的全部代碼，用于還原病毒的數據肯定在病毒體内，隻要找到這些數據，依照一定的程式或方法即可将文件恢複，也就是說可以将病毒解除。

引導型病毒

這類病毒的種類也比較多，中國發現的第一例病毒--“小球”病毒就是引導型病毒，它們占據軟盤或硬盤的第一個扇區，在開機後先于操作系統得到對計算機的控制，影響系統的I/O存取速度，幹擾系統的正常運行；此類病毒可用地址法、相對法、邏輯法、複蓋法、特殊法予以解除。

内存解毒

因為内存中的活病毒體會幹擾反病毒軟件的檢測結果，所以幾乎所有反病毒軟件設計者都要考慮到内存解毒。新的内存解毒技術是找到病毒在内存中的位置，重構其中部分代碼，使其傳播功能失效。

未知病毒檢測

通過對大量病毒的分析，可以掌握病毒的共性，并按照其發展衍生規律進行分類，總結病毒常用代碼（這些代碼是病毒存在、傳播和發作的根本），以文件中包含這些代碼的加權統計值作為對未知病毒檢測的依據，使用可執行文件格式知識分析啟始代碼，通過一定程度的反彙編和預測跳轉，綜合結果報告未知病毒。這種方法是建立在獨特病毒描述語言基礎上的，具有描述準确、誤報率低等特點。

包裹文件病毒

包裹程序是一些常見的工具軟件，它可以包裹可執行文件，減小磁盤占用空間，加快運行速度。但把一個病毒包裹後，病毒就會被保護起來，使得各種反病毒軟件無法查到。已被包裹并含有病毒的可執行文件在執行時，病毒會到處傳播，使用反病毒軟件将病毒解除之後，被包裹的可執行文件中的病毒卻保留下來，危害較大。通過特有的解包裹模塊，可以即查解被包裹後的病毒，又不破壞被包裹後沒有病毒的可執行文件。

壓縮工具

磁盤上經常會有一些被壓縮工具處理過的文件，這樣做可以節省磁盤空間，便于保密和攜帶。但如果有人無意将病毒傳染的文件使用壓縮工具壓縮了，那麼一般反病毒軟件就無法将病毒從壓縮文件中查出，采用解壓縮算法和流程處理可以根治這種病毒。

網絡病毒防治

對于單機病毒防治，運用以上技術或使用具有相應功能的反病毒軟件即可基本保障計算機系統不受病毒的侵擾。相對于單機病毒的防護來說，網絡病毒的防治具有更大的難度，網絡病毒防治應與網絡管理集成。網絡防病毒最大的優勢在于網絡的管理功能，如果沒有把管理功能加上，很難完成網絡防毒的任務，隻有管理與防範相結合，才能保證系統的良好運行。

管理功能就是管理全部的網絡設備和操作：從Hub、交換機、服務器到PC，包括軟盤的存取、局域網上的信息互通及與Internet的接駁等所有病毒能夠感染和傳播的途徑。

一般來講，計算機病毒的防治在于完善操作系統和應用軟件的安全機制，但在網絡環境下，應該相應采取新的防範手段。在網絡環境下，病毒傳播擴散快，僅用單機反病毒産品已經難以清除網絡病毒，必須有适用于局域網、廣域網的全方位反病毒産品。

為實現計算機病毒的防治，可在計算機網絡系統上安裝網絡病毒防治服務器；可在内部網絡服務器上安裝網絡病毒防治軟件；可在單機上安裝單機環境的反病毒軟件