实验三+PE文件型病毒分析

实验三 PE文件型病毒分析

一、实验目的

1.了解PE文件型病毒的基本原理;

2.了解病毒的感染、破坏机制,认识病毒程序; 3.掌握文件型病毒的特征和内在机制。 【注意事项】

1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。

2.若在个人电脑上实验,最好在虚拟机中运行。

3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。 4.请勿传播该病毒。传播该病毒造成有用数据丢失、电脑故障甚至触犯法律等后果,由传播者负责。 二、实验内容

压缩包中包括编译的病毒程序“PE_Virus.exe”和一个用于测试病毒的正常文件“test.exe”,通过运行病毒程序观看各步提示以了解PE文件型病毒的内在机制。

【PE_Virus病毒说明】

(1)传染范围:PE_Virus.exe所在目录; (2)传染目标:可执行文件(.exe);

(3)传染过程:搜索目录内的可执行文件,逐个感染;

(4)触发条件:运行PE_Virus.exe程序或被PE_Virus.exe感染的程序; (5)破坏能力:无害型,传染时减少磁盘的可用空间,在可执行文件上附加一个4K大小的节;

(6)破坏方式:攻击文件,在可执行文件上附加一个节(4K),修改可执行文件的入口地址;

(7)特征类型: Virus.Win32.Huhk.B(360提示) 【PE文件型病毒主要技术原理】 (1)病毒重定位 (2)获取API函数 (3)搜索可感染的文件

(4)内存映射文件 (5)病毒感染其他文件 (6)返回到宿主程序

任务1 观察PE_Virus病毒感染test.exe文件的过程 【提示】

(1)用360等杀毒软件检测PE_Virus.exe,杀毒软件检测到该文件有病毒。 (2)关闭防病毒软件的自动防护功能,运行PE_Virus.exe,会出现如下提示:

本实验为了能够比较直观演示病毒程序,让用户知道病毒正在做什么,故而有若干提示界面,但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行,往往都是隐藏运行,或者是寄生在宿主程序中。

(3)接下来会有若干提示,主要有: ① 查找当前目录中符合条件的文件

为了减少病毒破坏的范围,在编写该病毒程序时,限定其感染范围为当前目录内

感染,这也同时减少了病毒的破坏范围。

② 判断找到的文件是否可感染

PE_Virus.exe可以感染的目标程序为PE文件中的可执行文件(.exe)。 ③ 感染文件

PE_Virus.exe感染方式是在宿主文件附加一个节(4K),被感染的宿主程序运行时先跳转到该节处,运行感染代码,感染结束后再返回宿主程序的入口地址执行宿主程序。 ④ 暂停

病毒程序中加入sleep代码。在手工查毒时,有时需判断当前机器是否有异常程序在运行,如果机器没有明显的程序在运行,而硬盘的指示灯一直闪烁,在高速运转着,则可粗略判断机器有异常程序在运行。对于病毒程序而言,就需要通过sleep一

段时间再去感染下一个文件,以降低被发现的可能性。 ⑤ 返回宿主程序。

感染结束或用户取消后就会运行宿主程序。

如果我们隐藏前面的这些步骤的对话框和主界面,则给用户的感觉就是运行了一个正常的程序,只是程序启动运行的时间相对慢了一点,这也就体现了病毒程序的潜伏性这一特征。

任务2 比较test.exe文件被病毒感染前后的区别

使用Winhex或PEView等工具软件,分别观察test.exe感染病毒前后的有关参数,完成下表:

任务3 观察感染了病毒的test.exe文件运行的情况

运行染毒后的test.exe文件,可以发现test.exe已成为病毒PE_Virus.exe携带者,并已具有病毒程序PE_Virus.exe的特征,运行test.exe来检查程序被感染的情况以及该程序是否具有感染功能,在演示时为了能够测试效果,应该再复制其他的正常的可执行文件到test.exe所在的目录。 【思考】

(1)PE_Virus是否会对已感染病毒的test.exe再次感染?为什么?


© 2024 实用范文网 | 联系我们: webmaster# 6400.net.cn