返回
东华大学计算机病毒pe病毒实验报告

东华大学计算机病毒pe病毒实验报告

ID:27775508

大小:992.61 KB

页数:22页

时间:2018-12-06

东华大学计算机病毒pe病毒实验报告_第1页
东华大学计算机病毒pe病毒实验报告_第2页
东华大学计算机病毒pe病毒实验报告_第3页
东华大学计算机病毒pe病毒实验报告_第4页
东华大学计算机病毒pe病毒实验报告_第5页
资源描述:

《东华大学计算机病毒pe病毒实验报告》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、学号:老师:日期:一.PE文件感染实验一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式)摘毒感染文件过程(以感染文件KeyMaker.exe为例):重定位,获得所有API地址:狀”紗餅级娜娜*不始灘蚊*附己麟敝阶触,狀了则多次觀ISXJ此处可以让我们的病毐SiMP—下,避免硬盘的©速运转,而让用尸察觉确定IS、V是否继续现看对耳它的文件的感染过程?否迈)

2、对该艾件处理完毕?慂染缝束,艾件埒加仆,修改了一些文件头。给文件埤加罕节的操作完毕后即被余垂软件査出此处可以让我们的涡垂—下,进免硬2的®速运转,而让用

3、户察觉通过软件Stud_PE可查看可执行文件KcyMaker.cxe的结构可查看文件内容:1.判断目标文件开始的两个字节是否为“MZ”:2.判断PE文件标记“PE”••

4、PE..L…000000000000000000000000000000005045QQ"ool4C010900195E422A00000000

5、00000000E0008F81OB010219007C00003.判断感染标记,如果己被感染过则跳出继续执行宿主程序,否则继续:该文件是一个合法的PE文件,并且没有被感染过,开始感染...匚:确[:]I-Inixi4.

6、读取IMAGE_FILE_HEADER的NumberOfSections域,获得DataDirectory(数据R录)的个数,(每个数据目录信息占8个字节):[j^Stud一PEoperatingon:^Eeyflaker.eze*FileEditToolsHelpc:documeivtsandsettingsadministrator^[fi]4实验四win32virusviruskeymsHeadersVDos

7、C3SectionsjfxFunctions

8、R«Resourcesj9Signature卜

9、►

10、HE

11、ADERS(Coff+Optional)00054B930004B593004000000005500000001000000002000000000AEntryPoint(raw)ImageBaseSizeofImageSectionsAlignmentFileAlignmentNumberofsections:mportTabl.[00046000

12、000000F0

13、00044200:xportTabl.[00000000

14、00000000I00000000Data

15、IMAGEJIRJIITRY.RESOURCE

16、GoHex

17、

18、

19、++

20、f0004F000

21、00003B48

22、00046400RVADATADTRFCTORYSiztRawVisitStudPEFor<-Newsfesfil

23、

24、Rva〈:〉RawIpileCompar<

25、OK

26、0000818FCharacteristics0cHEADERStreeviewinhexedi•SAVEtofile5.得到节表起始位置。(数据目录的偏移地址+数据0录占用的字节数=节表起始位置)。ChecksumInitialIPvalueInitial(relative)CSv山Filetddrtixofrtloc

27、ttioOverlaynumberReservedwordsakh;4D5A5000020000000今00OFB800000000000000卜0oo

28、1A000000000000BA100054€fl€97420€2oo11c00066ooBz5ooB7700170oo2€2oo9FEoOC6€009250007700402ooB77ooroooo12zoo£35ooo7€6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位貫+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移。FileEditTool

29、sHelp、Dos1Sections

30、fxFunctionsJRsResources]

31、cAdocumentsandsettingsadministrator^(S]4弈验四win32virusviruskejnni9Signaturej4

32、►

33、NoNameVirtual…Virtual...RawSizeRawOffset

34、Charact..□04.idata00002000000460000000200000044200C0000040

35、」05

36、.tls0000100000048000000000000004620

37、0C0000040

38、」06.rdata00001000000490000000020000046200C0000040

39、07.reloc000050000004A0000000000000046400C0000040」08.rsrc00004000

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。