计算机病毒实验报告.doc

计算机病毒实验报告 《计算机病毒与反病毒》实验报告 学生姓名： 学 号： 专业班级： 计算机科学与技术09-2班 201年 月1日 说 明 1．本实验报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。 2．实验报告严禁出现雷同，每位同学须独立完成。若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。 3．实验报告要排版，格式应规范，截图一律采用JPG格式。为避免抄袭，用图像编辑软件在截图右下角”嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。 4．实验报告须说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。 5．只提交实验报告电子版。在5月31日前，通过电子邮件发送到hfutZRB@163.com，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。 6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“200912345张三-计算机病毒实验报告.doc”。 注意：提交实验报告截止日期时间是 实验一 程序的自动启动 一、实验目的 验证利用注册表特殊键值自动启动程序的方法； 检查和熟悉杀毒软件各组成部分的自动启动方法。 二、实验内容与要求 在注册表自动加载程序主键中，添加加载目标程序键值，重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。 检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。 三、实验环境与工具 操作系统：Windows XP/Windows Vista/Windows 工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件 四、实验步骤与实验结果 能自动启动目标程序的键值分别有： 本地系统永久自动启动: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 本地系统一次自动启动： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce] 硬软件配置的永久自动启动： [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 硬软件配置的一次自动启动： [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce] 系统服务的永久自动启动： [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 指派程序：利用[HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]键值启动QQ程序。 win+R进入注册表打开该位置新建可扩充字符串值,键值名为”QQ自动启动”,键值数值为QQ 主程序的位置,如图 : 设置完成后,开机重启目测QQ程序是否开机启动,效果如图: 计 算 机 病 毒 实验报告 姓 名： 学 号: 老 师： 日 期： 1 一．PE文件感染实验 一：参照病毒感染PE文件的7个步骤，记录病毒是如何感染文件 病毒感染文件过程： 重定位，获得所有API地址： 2 通过软件Stud_PE可查看可执行文件KeyMaker.exe的结构可查看文件内容： 1．判断目标文件开始的两个字节是否为“MZ”： 2．判断PE文件标记“PE”： 3．判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续： 3 4．读取IMAGE_FILE_HEADER的NumberOfSections域，获得Data Directory的个数，： 5．得到节表起始位置。。 6．得到节表的末尾偏移 节表起始位置+节的个数*=节表的末尾