实验三+PE文件型病毒分析
实验三 PE文件型病毒分析
一、实验目的
1.了解PE文件型病毒的基本原理;
2.了解病毒的感染、破坏机制,认识病毒程序; 3.掌握文件型病毒的特征和内在机制。 【注意事项】
1.本病毒程序用于实验目的,面向实验演示,侧重于演示和说明病毒的内在原理,破坏功能有限。在测试病毒程序前,需先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。
2.若在个人电脑上实验,最好在虚拟机中运行。
3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。 4.请勿传播该病毒。传播该病毒造成有用数据丢失、电脑故障甚至触犯法律等后果,由传播者负责。 二、实验内容
压缩包中包括编译的病毒程序“PE_Virus.exe”和一个用于测试病毒的正常文件“test.exe”,通过运行病毒程序观看各步提示以了解PE文件型病毒的内在机制。
【PE_Virus病毒说明】
(1)传染范围:PE_Virus.exe所在目录; (2)传染目标:可执行文件(.exe);
(3)传染过程:搜索目录内的可执行文件,逐个感染;
(4)触发条件:运行PE_Virus.exe程序或被PE_Virus.exe感染的程序; (5)破坏能力:无害型,传染时减少磁盘的可用空间,在可执行文件上附加一个4K大小的节;
(6)破坏方式:攻击文件,在可执行文件上附加一个节(4K),修改可执行文件的入口地址;
(7)特征类型: Virus.Win32.Huhk.B(360提示) 【PE文件型病毒主要技术原理】 (1)病毒重定位 (2)获取API函数 (3)搜索可感染的文件
(4)内存映射文件 (5)病毒感染其他文件 (6)返回到宿主程序
任务1 观察PE_Virus病毒感染test.exe文件的过程 【提示】
(1)用360等杀毒软件检测PE_Virus.exe,杀毒软件检测到该文件有病毒。 (2)关闭防病毒软件的自动防护功能,运行PE_Virus.exe,会出现如下提示:
本实验为了能够比较直观演示病毒程序,让用户知道病毒正在做什么,故而有若干提示界面,但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行,往往都是隐藏运行,或者是寄生在宿主程序中。
(3)接下来会有若干提示,主要有: ① 查找当前目录中符合条件的文件
为了减少病毒破坏的范围,在编写该病毒程序时,限定其感染范围为当前目录内
感染,这也同时减少了病毒的破坏范围。
② 判断找到的文件是否可感染
PE_Virus.exe可以感染的目标程序为PE文件中的可执行文件(.exe)。 ③ 感染文件
PE_Virus.exe感染方式是在宿主文件附加一个节(4K),被感染的宿主程序运行时先跳转到该节处,运行感染代码,感染结束后再返回宿主程序的入口地址执行宿主程序。 ④ 暂停
病毒程序中加入sleep代码。在手工查毒时,有时需判断当前机器是否有异常程序在运行,如果机器没有明显的程序在运行,而硬盘的指示灯一直闪烁,在高速运转着,则可粗略判断机器有异常程序在运行。对于病毒程序而言,就需要通过sleep一
段时间再去感染下一个文件,以降低被发现的可能性。 ⑤ 返回宿主程序。
感染结束或用户取消后就会运行宿主程序。
如果我们隐藏前面的这些步骤的对话框和主界面,则给用户的感觉就是运行了一个正常的程序,只是程序启动运行的时间相对慢了一点,这也就体现了病毒程序的潜伏性这一特征。
任务2 比较test.exe文件被病毒感染前后的区别
使用Winhex或PEView等工具软件,分别观察test.exe感染病毒前后的有关参数,完成下表:
任务3 观察感染了病毒的test.exe文件运行的情况
运行染毒后的test.exe文件,可以发现test.exe已成为病毒PE_Virus.exe携带者,并已具有病毒程序PE_Virus.exe的特征,运行test.exe来检查程序被感染的情况以及该程序是否具有感染功能,在演示时为了能够测试效果,应该再复制其他的正常的可执行文件到test.exe所在的目录。 【思考】
(1)PE_Virus是否会对已感染病毒的test.exe再次感染?为什么?
相关文章
- 文件型病毒
- 实验2文件型病毒
- 7月文章试读:恶意代码的亲密接触--病毒编程技术(上)
- 生物安全管理体系文件
- 一个电脑技术员的心得
- 基因测序技术基础原理
- 浅议常见病毒的类型.破坏形式及其防范措施
- 计算机病毒发展简史
- [网络安全技术]课程教案
西安邮电学院 计算机病毒实验报告书 院系名称 : 专业名称 班 级 : 通信与信息工程学院 信息安全 安全0804班 余伟东(0608-3121) 2011年06月23日 学生姓名 : 实验时间 : 一.验证利用OllyDBG修改病毒感染程 ...
XI`AN TECHNOLOGICAL UNIVERSITY 实验报告 实验课程名称 文件型病毒 一.实验目的 1.了解文件型病毒的原理 2.了解PE文件结构 3.了解文件型病毒的发现方法 4.了解病毒专杀工具的基本原理 二.实验步骤 一. ...
7月文章试读:恶意代码的亲密接触--病毒编程技术(上) 文 / 温玉洁 生活在网络时代,无论是作为一名程序员抑或是作为一名普通的电脑使用者,对病毒这个词都已经不再陌生.网络不仅仅是传播信息的快速通道,从另外一个角度来看,也是病毒得以传播和滋 ...
实验室生物安全管理制度 目的:确保实验人员生物安全,环境不受污染,样品质量不受影响特制定该管理制度. 一.人员准入条件 1.实验室人员.辅助人员和外来人员必须具备相应的专业技能.受过相关的实验室生物安全培训.了解实验室潜在的生物危害和特殊要 ...
从02年从业到现在,已经有6个年头的时间了.在此积累了一些电脑应用方面的知识跟软件应用方面的技巧.今天拿出来跟大家分享一下.由于本人上学的时候文科就差~~~~所以在本文中如出现什么语法跟用词方面的错误,还请大家谅解~~~~~~写此文的目的是 ...
基因测序技术基础原理 DNA序列测定分手工测序和自动测序,手工测序包括Sanger双脱氧链终止法和Maxam-Gilbert化学降解法.自动化测序实际上已成为当今 DNA序列分析的主流.美国PE ABI公司已生产出373型.377型.310 ...
第29卷第6期 2009年l2月 成宁学院学报 V01.29,No.6Dec.2009 Journalof)(ianIlingUniversity 文章编号:1006-5342(2009)06-0043-02 浅议常见病毒的类型.破坏形式及 ...
计算机病毒发展简史 [提要]普通病毒 网络蠕虫病毒 变形病毒 [内容]计算机病毒的发展过程可分为三个阶段:普通计算机病毒.网络蠕虫病毒.和变形病毒. 普通计算机病毒 20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为&qu ...
<网络安全技术>课程教案 一.课程定位 网络的安全使用是企事业单位应用网络的基本需求.网络应用包括"建网"."管网"和"用网"三个部分.如果用一棵树形容网络应用,&qu ...