返回
实验二病毒分析常用工具软件

实验二病毒分析常用工具软件

ID:24114227

大小:62.50 KB

页数:4页

时间:2018-11-12

实验二病毒分析常用工具软件_第1页
实验二病毒分析常用工具软件_第2页
实验二病毒分析常用工具软件_第3页
实验二病毒分析常用工具软件_第4页
资源描述:

《实验二病毒分析常用工具软件》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、实验二病毒分析常用工具软件一、实验目的1.掌握WinHex、ProcessExplorer、Regedit等工具软件的蕪本使用方法;2.使用WinHex软件分析PE文件信息。二、实验内容任务1WinHex软件的安装和使用(1)下载或复制WinHex软件,安装WinHex。【提示】WinHex是一款通用的16进制编辑器,具有磁盘编辑与文件编辑、RAM编辑、加密和解密数据、Hash计算、粉碎文件和磁盘数据等众多的功能。(2)查看MBR,并列出硬盘活动分区的分区类型及分区的总扇区数。【提示】用WinHex打开物理磁盘HDO,MBR即主引导纪录,位于整个硬

2、盘的0柱面0磁道1扇区,共占用了63个扇区,但实际只使用了1个扇区(512字节),分为三部分:第一部分是引导代码,占用了446个字节;第二部分是分区表,占用了64字节;第三部分是55AA,结束标志,占用了两个字节。分区表(DPT,DiskPartitionTable)含4个分区项,每个分区表项长16个字节,各字节含义为:第1字节引导标志。若值为80H表示活动分区;若值为00H表示非活动分区。第2、3、4字节本分区的起始磁头号、扇区号、柱面号第5字节分区类型符:00H——表示该分区未用06H——FAT16基本分区OBH——FAT32基本分区05H——

3、扩展分区07H——NTFS分区0FH——(LBA模式)扩展分区83HLinux分区第6、7、8字节本分区的结束磁头号、扇区号、柱面号第9、10、11、12字节本分区之前已用了的扇区数第13、14、15、16字节本分区的总扇区数(1)用WinHex打开Notepad.exe,搜索十六进制值4B45524E454C,确定其在文件中的偏移砧。【提示】选择菜单“搜索”、“查找16进制数值”。(2)用WinHex计算Notepad.exe的MD5值。【提示】选择菜单“工具”、“计算哈希”、“MD5”。任务2ProcessExplorer软件的安装和使用(1)

4、下载或复制ProcessExplorer软件,安装ProcessExplorer。【提示】ProcessExplorer是一款增强型的任务管理器,让使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可S示这些程序所调用的DLL进程,以及他们所打开的句柄;它能够强行关闭任何程序(包括系统级别的不允许随便终止的“顽固”进程),它还能详尽地显示计算机信息:CPU、内存使用情况、DLL、句柄信息、历史曲线图等等,它支持Windows各种版本操作系统。(2)运行Notepad.exe,使用ProcessExp

5、lorer查看其运行属性,然/G•终止其进程。【提示】在进程树中双击Notepad.exe可查看其属性,有多种方法可终止其进程:右键单击选终止进程、属性窗口选终止进程、直接按“Del”键。(3)搜索使用了CrashReport.dll的程序。【提示】菜单“查找”、“查找句柄或DLL”,可搜索使用了指定DLL的程序。任务3Regedit的使用(1)导出注册表并保存成文件。【提示】运行Regedit,选菜单“文件”、“导出”。(2)设置开机自动运行Notepad.exe。【提示】通过修改注册表实现开机自动运行,有很多种方法,常用的是:HKEY_CURR

6、ENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHlNESoftwareMicrosoftWindowsCurrentVersionRunOnce(3)在资源管理器的右键菜单中增加“用记事本打开

7、”,浏览文件吋随吋可按右键选择用记事本打开文件。【提示】HKEY_LOCAL_MACHINESOFTWAREClasses*,新建一个主键名为“shell”,在“shell”下再增加一个主键名为“用记事本打开”,在“用记事本打开”下再增加一个主键名为“command”,在“command”增加一个字串值,数值为“notepad.exe%1”。(1)屏蔽cmd命令提示窗口。【提示】HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommandProcessor节,在右侧的位列表中找到AutoRim项,将値改为exit

8、,这样,运行cmd时就退出了,因为它默认运行了exit。任务4使用WinHex软件分析PE文件信息以分析winpe.exe

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。