第三章计算机病毒结构分析2.ppt

步骤12： 比较目标程序感染前后的变化 注要指程序大小 ，如下图 图例12；图例12A和图例12B；图例12C和图例12D ： 图例12B 图解说明：图例12A、12B、12C、12D是通过PE Viewer程序打开目标程序的图示。对照图例12A和12B的注解：注解1表示KeyMaker.exe程序的节数由感染前的9个增加到10个；注解2程序大小的变化加注解3是程序入口地址的变化由00043DE8变为00054B93;注解4是程序占用空间的变化加注解5是程序校验和的变化由0004C1FB变为0004C543。 步骤12： 比较目标程序感染前后的变化 注要指程序大小 ，如下图 图例12；图例12A和图例12B；图例12C和图例12D ： 图例12C 步骤12： 比较目标程序感染前后的变化 注要指程序大小 ，如下图 图例12；图例12A和图例12B；图例12C和图例12D ： 图例12D 图解说明：对照图例12C和12D的注解：注解1表示增加的一个节的具体内容。 演示说明：这就是程序被感染后的结果，目标程序被增加一个节 4 KB 4096字节 ，程序入口地址被修改，程序大小和占有空间增加4K。 步骤13： 测试感染后程序是否为病毒携带程序的图示，如下图： 图例13 图解说明：注解13-1表示Norton AntiVirus的自动防护功能打开着；注解13-2就是防病毒软件在用户鼠标置于图例13中注解13-3处的KeyMaker.exe程序上时的报警提示。 演示说明：由此病毒报警提示可知KeyMaker.exe已被感染，成为病毒Virus.exe携带者，并已具有病毒程序Virus.exe的特征。此处为了防止Virus.exe影响测试结果，在测试时把Virus.exe放到临时目录temp中，主目录留下被Virus感染的程序。 步骤14： 病毒携带程序KeyMaker.exe的运行情况，如下图： 图例14 图解说明：注解14-1表示Norton AntiVirus的自动防护功能被关闭；注解14-2为病毒携带程序KeyMaker.exe运行初始界面；注解14-3表示当前运行是KeyMaker.exe。 演示说明：运行KeyMaker.exe来检查程序被感染的情况以及该程序是否具有感染功能，在演示时为了能够测试效果，应该将其他的可执行文件换成未被感染的程序，只需从原先的测试包中将除KeyMaker.exe外的可执行文件拷贝过来复制即可。 步骤15： 是否观看病毒携带程序KeyMaker.exe的感染过程提示，如下图： 图例15 图解说明：注解15-1是否观看病毒携带程序KeyMaker.exe的感染过程提示。选择“是”观看感染过程，参照步骤16图示；选择“否”运行原程序，参照步骤17图示。 演示说明：无 步骤16： 病毒携带程序KeyMaker.exe的开始感染提示，如下图： 图例16 图解说明：注解16-1提示病毒携带程序KeyMaker.exe的开始感染其他程序，后面的步骤与步骤4开始类似。 ? 演示说明：无 步骤17： 病毒携带程序KeyMaker.exe不进行感染运行主程序图示，如下图： 图例17 图解说明：注解17-1是病毒携带程序KeyMaker.exe的运行界面。 演示说明：无 步骤18： 病毒携带程序ebookedit.exe的感染过程被防病毒程序检测到的图示，如下图： 图例18 图解说明：注解18-1表示Norton AntiVirus的自动防护功能打开着；注解18-2是目标感染程序 此处是刚复制过来的未感染的测试程序 ；注解18-3表示正在运行的是病毒携带程序ebookedit.exe；注解18-4提示当前感染过程结束，在宿主程序ebookcode.exe增加一个节，修改了文件头；注解18-5提示该过程被检测有病毒程序在运行，从而进行病毒预警提示。 演示说明：详见备注 ３从ring3到ring0概述 Win9x时代 由于Win9x未对IDT，GDT，LDT加以保护，我们可以利用这一点漏洞来进入ring0。 用SHE，IDT，GDT，LDT等方法进入ring0的例子清参考CVC杂志、已公开的病毒源码和相关论坛等。 在NT/2K/XP时代 webcrazy写的Win2K下进入ring0的C教程，这篇文章非常值得研究ring0病毒的技术人员参考。 由于Win2K已经有了比较多的安全审核机制，即使我们掌握了这种技术，如果想在Win2K下进入ring0还必须具有Administrator权限。 我们必须同时具备病毒编制技术和黑客技术才能进入Win