计算机病毒实验报告1.docVIP

2014-2015年第2学期 系列1 实验1 （20分） 实验2 （20分） 实验3 （20分） 实验4 （20分） 扩展题 （20分） 总分 评分 系列2 编程题 （80分） 扩展题 （20分） 评分 病毒理论与防御技术实验报告 实验名称 实验一：主流病毒分析 成员学号0607210206072104 成员姓名 刘一 陈二 张三 李四 王五 成员贡献 组长，负责实验1，2 组员，协助完成实验2 组员，负责实验3，4 组员，负责思考题 组员，协助其他同学完成实验 成员评分 90 70 95 80 60 成员签名 实验评分 2015年3月1日 实验一：********** 一、实验目的 1）掌握PE文件格式。 2）了解PE病毒原理。 二、实验步骤 1）阅读CVC杂志。 2）学习使用PE Explorer查看不同PE结构文件格式，如exe和dll。 3）文件型病毒演练。 a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。 b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。 c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton能够比较及时的查出是病毒程序；而ebookedit.exe 和 ebrand-it.exe 是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加4k的节时，杀毒软件检测到该行为时才能判断是病毒程序。 三、思考题 1、详细记录实验步骤、现象、问题。 实验现象： 1)PE文件格式 按节组织（section）-中病毒之后section number变多（多了一个IS节） 中病毒之后Address of entry point程序入口点变化（调用子程序SUB_L0066D58B） 2）中病毒文件 文件也具有了感染其他文件的功能。 病毒重定位： 原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。这就是病毒首先要重定位的原因。 目的：找到基址 举例：在几乎每个病毒的开头都用下面的语句: call delta delta: pop ebp ;得到delta地址sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位 mov dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置 API函数地址的获取： 步骤：首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址. 4