返回
计算机病毒实验报告

计算机病毒实验报告

ID:1799071

大小:2.19 MB

页数:24页

时间:2017-11-13

计算机病毒实验报告_第1页
计算机病毒实验报告_第2页
计算机病毒实验报告_第3页
计算机病毒实验报告_第4页
计算机病毒实验报告_第5页
资源描述:

《计算机病毒实验报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机病毒实验报告——windows病毒实验姓名:张艳秋学号:081300607班级:信安0802指导老师:韦俊银实验日期:2011.5.27实验内容1.PE文件感染实验(选)2.暴风一号病毒3.VBS病毒产生4.宏病毒实验(选)PE文件感染实验实验目的了解pe病毒的感染过程实验环境硬件设备PC机一台(建议虚拟机)软件工具OfficeWord2007实验步骤一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式)病毒感染文件过程(以感染文件ebookcode.exe为例):重定位,获得所有API地址:……通过软件Stud_PE可查看可执行文件ebookcode.exe的

2、结构可查看文件内容:1.判断目标文件开始的两个字节是否为“MZ”:1.判断PE文件标记“PE”:3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续:4.读取IMAGE_FILE_HEADER的NumberOfSections域,获得DataDirectory(数据目录)的个数,(每个数据目录信息占8个字节):5.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置):6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移7.开始写入节表,感染文件:二:在掌握Stud_PE工具的基

3、础上,比较文件感染前后有哪些变化。感染前:感染后:由上两图可以看出,感染前后有4处发生了变化:1:PE文件头中入口点:感染病毒后ebookedit.exe程序的入口点变成了病毒文件的入口点2:PointerToRawData域值,即该文件的偏移量发生了变化;3:imag的大小发生了变化;4:sections的数量发生了变化。由.exe文件感染前后变化可知,PE病毒感染过程即在文件中添加一个新节,把病毒代码和病毒执行后返回宿主程序的代码写入新添加的节中,同时修改PE文件头中入口点(AddressOfEntryPoint),使其指向新添加的病毒代码入口。程序染毒后运行结果:1:首先执行病毒程序

4、:2:病毒代码执行完后执行宿主程序:三:针对病毒源代码,指出与感染PE文件步骤相对应的程序段1.判断目标文件开始的两个字节是否为“MZ”。leaeax,[ebx+offsetszMsg1]pusheaxcallSingleTest2.判断PE文件标记“PE”。3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。4.获得DataDirectory(数据目录)的个数,(每个数据目录信息占8个字节)。5.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置)6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节

5、数28H)=节表的末尾偏移。7.开始写入节表宏病毒实验目的了解Word宏语言,理解宏病毒的特点、共性及原理。学习人工发现宏病毒的方法及简单清除宏病毒方法。实验环境l硬件设备PC机一台(建议虚拟机)l软件工具OfficeWord2007图1宏病毒传播示意图实验步骤Step1:新建Word文档并打开Step2:.点击word选项,选择“在功能区显示开发工具”选项勾选红色区域点击“开发工具”选项,点击“宏安全性”,点击“宏设置”,选择“启用所有宏”“信任对VBA工程对象模型的访问”Step3:创建宏,命名AutoExec编辑一些宏命名的作用:1.标准宏:AutoExec:启动Word时加载全局模

6、板AutoNew:每次创建新文档AutoClose:在关闭文档时2.标准宏:FileSave:保存文件FileSaveAs:改名另存为文件FileOpen:打开文件Step4:编辑宏,语法上注意VBA版本保存(本实验采用的VBA6.3或以上版本)输入以下代码:SubAutoExec()Dimnm(4)MsgBox"您好!我一直在等着您!"try:OnErrorGoTo0OnErrorGoTotrytest=-1con=1tog$=""i=0Whiletest=-1Fori=0To4nm(i)=Int(Rnd()*5)con=(con*nm(i))Ifi=4Thentog$=tog$+Str

7、$(nm(4))+"=?"GoTobegEndIftog$=tog$+Str$(nm(i))+"*"Nextibeg:Beepans$=InputBox("今天是"+Date$+"号,跟你玩一个心算游戏"+Chr$(13)+"若你答错,只好接受震撼教育.............."+Chr$(13)+tog$,"台湾NO.1MacroVirus")IfRTrim$(LTrim$(ans$))=LTrim$(Str$(co

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。