计算机病毒实验报告-1

PAGE2015年第2学期系列1实验1（20分）实验2（20分）实验3（20分）实验4（20分）扩展题（20分）总分评分系列2编程题（80分）扩展题（20分）评分实验报告实验名称实验一：主流病毒分析成员学号0607210106072102060721030607210406072105成员姓名刘一陈二张三李四王五成员贡献组长，负责实验1，2组员，协助完成实验2组员，负责实验3，4组员，负责思考题组员，协助其他同学完成实验成员评分9070958060成员签名实验评分20

实验一：**********一、实验目的1）掌握PE文件格式。2）了解PE病毒原理。二、实验步骤1）阅读CVC杂志。2）学习使用PEExplorer查看不同PE结构文件格式，如exe和dll。3）文件型病毒演练。a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中ebookcode.Exe和KeyMaker.exe可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton能够比较及时的查出是病毒程序；而ebookedit.exe和ebrand-it.exe是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加4k的节时，杀毒软件检测到该行为时才能判断是病毒程序。三、思考题1、详细记录实验步骤、现象、问题。实验现象：1)PE文件格式按节组织（section）->中病毒之后sectionnumber变多（多了一个IS节）中病毒之后Addressofentrypoint程序入口点变化（调用子程序SUB_L0066D58B）2）中病毒文件中病毒文件也具有了感染其他文件的功能。病毒重定位：原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。这就是病毒首先要重定位的原因。目的：找到基址举例：在几乎每个病毒的开头都用下面的语句:calldeltadelta:popebp;得到delta地址subebp,offsetdelta;因为在其他程序中基址可能不是默认的所以需要重定位movdwordptr[ebp+offsetappBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置API函数地址的获取：步骤：首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.2、写下你阅读CVC杂志后的读后感，你同意杂志的所表达的倾向吗，你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系，为什么？CVC杂志很有意思，语言幽默，观点明确，并且总结了很多关于病毒的基础知识。病毒虽然只是一种程序，但是由于其特殊性以及因为日常生活中缺少对病毒的了解，使其显得很神秘，所以很有必要对其做专门的说明。并且目前确实有一部分人“把写病毒当做炫耀的资本”，除此之外，利用病毒谋取利益也是现阶段病毒肆虐的原因之一。研究不是为了破坏而是为了知己知彼。病毒中确实也有很多高超的技巧值得我们学习。3、通过WinPE查看器PEexplorer，EXE文件和DLL文件有什么区别？DLL有Export表，EXE文件没有。4、通过文件型病毒感染实验，回答病毒是如何感染文件的，使用了些什么技术？重定位技术获取API函数地址硬盘搜索技术5、清除你的所中病毒，并总结病毒预防、发现、清除机制。清除所中病毒：删除IS节，将入口地址改成原文件的入口地址。或者使用IceSword软件。病毒预防：避免下载和接收不知名的文件病毒发现：软件字节数增加，节增加，入口地址改变四、实验心得五、实验反馈实验二：**********一、实验目的二、实验内容三、思考题四、实验心得五、实