病毒实验总结

1 / 22 病毒实验总结 实验报告 网络攻击与防范 学院： 姓名： 学号： 专业：软件工程 年级：题目：第四章 “ 病毒 ” 2016 年 6 月 2 日 实验一 : 1. 实验题目：制作 U 盘病毒 2 / 22 2. 实验目的：学习病毒特征，更有效的了解病毒，防止病毒 3. 实验时间： 2016 年 6 月 2 日星期二 4. 实验地点： 5. 实验人员： 6. 实验步骤： 一：制作 U 盘病毒 首先在 U 盘中复制一个病毒可执行文件，本实验中我选用的是 蜘蛛纸牌 .exe，并且新建一个文本文档，命名为 autorun，记事本格式打开文本文档，在其中输入新建病毒命令，并且另存为 ,保存类型为 “ 所有文件 ” 如图 3 / 22 1-2 图 1 图 2 弹出 U 盘，重新插入后，发现 U 盘图标已经修改为蜘蛛纸牌的 图标，但当打开 U 盘时仍能正常运行，并不能打 开蜘蛛纸牌 如图 3-4 图 3 打开后无病毒弹出 图 4 因为不能执行成功，所以根据老师给的文档中注册表进行修4 / 22 改， HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 改 CheckedValue为 1，发现电脑本身的值就为 1，于是我依次进行了修改为 0，修改为 2，都不能成功。如图 5-6 图 5 图 6 二：尝试正常打开装有病毒的 U 盘 利用【运行】对话框来打开 U 盘 如图 7-8 图 7 实验报告 5 / 22 网络攻击与防范 学院： 姓名： 学号： 130624021 专业：软件工程 年级：题目：第四章 “ 病毒 ” 2016 年 6 月 2 日 实验一 : 1. 实验题目：制作 U 盘病毒 2. 实验目的：学习病毒特征，更有效的了解病毒，防止病毒 6 / 22 3. 实验时间： 2016 年 6 月 2 日星期二 4. 实验地点： J-C-201 5. 实验人员： 6. 实验步骤： 一：制作 U 盘病毒 首先在 U 盘中复制一个病毒可执行文件，本实验中我选用的是 蜘蛛纸牌 .exe，并且新建一个文本文档，命名为 autorun，记事本格式打开文本文档，在其中输入 新建病毒命令，并且另存为 ,保存类型为 “ 所有文件 ” 如图 1-2 图 1 7 / 22 图 2 弹出 U 盘，重新插入后，发现 U 盘图标已经修改为蜘蛛纸牌的 图标，但当打开 U 盘时仍能正常运行，并不能打开蜘蛛纸牌 如图 3-4 图 3 打开后无病毒弹出 图 4 因为不能执行成功，所以根据老师给的文档中注册表进行修改， HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 8 / 22 改 CheckedValue为 1，发现电脑本身的值就为 1，于是我依次进行了 修改为 0，修改为 2，都不能成功。如图 5-6 图 5 图 6 二：尝试正常打开装有病毒的 U 盘 利用【运行】对话框来打开 U 盘 如图 7-8 图 7 计算机与信息学院 计算机病毒与反病毒实验报告 学生姓名： 9 / 22 学 号： 专业班级： 计算机科学与技术 09-2 班 2016 年 5 月 15 日 说 明 1本实验报告是计算机病毒与反病毒课程成绩评定的重要依据，须认真完成。 2实验报告严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。 3实验报告要排版，格式应规范，截图一律采用 JPG 格式。为避免抄袭，用图像编辑软件在截图右下角 “ 嵌入 ” 自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。 4实验报告须说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。 10 / 22 5只提交实验报告电子版。在 5 月 31 日前，通过电子邮件发送到 hfutZRB，若三天之内没有收到内容为 “ 已收到 ” 的回复确认 Email，请再次发送或电话联系任课老师。 6为了便于归档，实验报告 Word 文档的命名方式是 “ 学号姓名 -计算机病毒实验报告 .doc” ，如 “201612345 张三 -计算机病毒实验报告 .doc” 。 注意：提交实验报告截止日期时间是 实验一 程序的自动启动 一、实验目的 验证利用注册表特殊键值自动启动程序的方法； 检查和熟悉杀毒软件各组成部分的自动启动方法。 二、实验内 容与要求 在注册表自动加载程序主键中，添加加载目标程序键值，重11 / 22 启操作系统，检查是否能自动成功加载目标程序。罗列 5 或5 个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。 检查 /分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。 三、实验环境与工具 操作系统： Windows XP/Windows Vista/Windows 7 工具软件：， AutoRuns，或其他注册表工具软件；杀毒软件 四、实验步骤与实验结果 能自动启动目标程序的键值分别有： 本地系统永久自动启动 : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 12 / 22 本地系统一次自动启动： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce 硬软件配置的永久自动启动： HKEY_CURRENT_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 硬软件配置的一次自动启动： HKEY_CURRENT_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce 系统服务的永久自动启动： HKEY_CURRENT_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 指 派 程 序 ： 利 用HKEY_CURRENT_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键值启动 QQ 程序。 win+R 进入注册表打开该位置新建可扩充字符串值 ,键值名为 QQ 自动启动 ,键值数值为 QQ 主程序的位置 ,如图 13 / 22 : 设置完成后 ,开机重启目测 QQ 程序是否开机启动 ,效果如图 : 实验一 PE 结构分析及 DOS 病毒感染与清 除 一、实验目的 1熟悉 PE 文件结构 2掌握 DOS 系统下 .EXE 文件病毒感染与清除方法 二、实验要求 1实验之前认真准备，编写好源程序。 2实验中认真调试程序，对运行结果进行分析，注意程序的正确性和健壮性的验证。 3不断积累程序的调试方法。 三、实验内容 14 / 22 1）手工或编程从中获得 MessageBoxA 的函数地址； 首先加载 loadPE 打开 PE 编辑器 打开目录 进入输出表 在列表中就可以找到 Messagebox 的信息。 经过计算可得 VA 即函数访问内存的逻辑地址。 2）查阅资料，结合第 2 章内容，根据 PE 结构编写一个小的工具软件，或者用 PE Explorer、 PEditor、 Stud_PE 等工具软件查看、分析 PE 文件格式。针对 PE 文件格式，请思考：Win32 病毒感染 PE 文件，须对该文件作哪些修改； (1)打开Stud_PE，并加载 EXE 文件； 结合 16 进制编辑器完成 EXE 文件的分析 15 / 22 可以看到， pe 文件首部包括 MZ 头， PE 文件头，可选映像头，数据目录表； 仔细分析各部分发现： MZ 头占了 64 个字节，首先是 MZ 标志，然后是最后一页的字节数，文件的页数，重定位地址等，其中 FILE address of relocation table 指向 PE 标志。 接下来是 4 个字节的 PE 标志和 20 个字节的 PE 文件头部信息 , 各字段的依次为 PE 节数量，时间戳，指向符号表，符号表数量，扩展 PE 头大小，文件属性。这些都被封装在_IMAGE_FILE_HEADER 结构中。 然后是可选映像头 ,占了 96 个字节。 这一部分字段很多，有 31 个，其中比较重要的有SIZEOfcode(可执行代码长度 ),AddressOfEntrypoint (程序入口点 )， Imagebase。 然后是占有 128 个字节的 数据表目录 : 16 / 22 据查资料知道这一块是 IMAGE-DATA-DIRECTORY 结构的数组，里面每个结构体给出了重要的数据结构的 RVA。 而 PE 头后面便是以 40 个字节为节长度单位的节表，下 表给出了节表中几个典型的字段， 病毒理论与防御技术实验报告 2016 年 3 月 1 日 实验一： * 一、实验目的 1）掌握 PE 文件格式。 2）了解 PE 病毒原理。 二、实验步骤 1）阅读 CVC 杂志。 2）学习使用 PE Explorer 查看不同 PE 结构文件格式，如 exe和 dll。 3）文件型病毒演练。 17 / 22 a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得拷贝在当前解压目录中即可运行病毒程序进行测试。 b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为 ebook 安装目录下的所有程序。 c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中 和 可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton 能够比较及时的查出是病毒程序；而 和 是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加 4k 的节时，杀毒软件检测到该行为时才能判断是病毒程序。 三、思考题 1、详细记录实验步骤、现象、问题。 ? 实验现象： 1)PE 文件格式 18 / 22 按节组织 -中病毒之后 section number 变多 中病毒之后 Address of entry point 程序入口点变化 2）中病毒文件 中病毒文件也具有了感染其他文件的功能。 1 ? 病毒重定位： 原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。那么 病毒需 要用到的变量的位置就无法确定。这就是病毒首先要重定位的原因。 目的：找到基址 举例：在几乎每个病毒的开头都用下面的语句 : call delta delta: 19 / 22 pop ebp ;得到 delta 地址 sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位 mov dword ptr ebp+offset appBase,ebp;把扩展基址寄存器 ebp 中的内容 (基址 )存入内存 appBase 位置 ? API 函数地址的获取： 2 步骤：首先获得诸如 ,的基址 ,然后再找到真正的函数地址 . 2、写下你阅读 CVC 杂志后的读后感，你同意杂志的所表达的倾向吗，你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系，为什么？ CVC 杂志很有意思，语言幽默，观点明确，并且总结了很多关于病毒的基础知识。 病毒虽然只是一种程序，但是由于20 / 22 其特殊性以及因为日常生活中缺少对病毒的了解，使其显得很神秘，所以很有必要对其做专门的说明 。 并且目前确实有一部分人 “ 把写病毒当做炫耀的资本 ” ，除此之外，利用病毒谋取利益也是现阶段病毒肆虐的原因之一。 研究不是为了破坏而是为了知己知彼。病毒中确实也有很多高超的技巧值得我们学习。 3、通过 WinPE 查看器 PE explorer， EXE 文件和 DLL 文件有什么区别？ DLL 有 Export 表， EXE 文件没有。 4、通过文件型病毒感染实验，回答病毒是如何感染文件的，使用了些什么技术？ 重定位技术 获取 API 函数地址 硬盘搜索技术 5、清除你的所中病 毒，并