计算机病毒实验报告.doc

计算机病毒实验报告

计算机病毒实验报告 《计算机病毒与反病毒》实验报告 学生姓名: 学 号: 专业班级: 计算机科学与技术09-2班 201年 月1日 说 明 1.本实验报告是《计算机病毒与反病毒》课程成绩评定的重要依据,须认真完成。 2.实验报告严禁出现雷同,每位同学须独立完成。若发现抄袭,抄袭者和被抄袭者本课程的成绩均以零分计。 3.实验报告要排版,格式应规范,截图一律采用JPG格式。为避免抄袭,用图像编辑软件在截图右下角”嵌入”自己的学号或姓名。实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名,是评价报告质量的考量因素。 4.实验报告须说明文字与实验截图相配合,若只有说明文字,或只有截图,则成绩为不及格。 5.只提交实验报告电子版。在5月31日前,通过电子邮件发送到hfutZRB@163.com,若三天之内没有收到内容为“已收到”的回复确认Email,请再次发送或电话联系任课老师。 6.为了便于归档,实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”,如“200912345张三-计算机病毒实验报告.doc”。 注意:提交实验报告截止日期时间是 实验一 程序的自动启动 一、实验目的 验证利用注册表特殊键值自动启动程序的方法; 检查和熟悉杀毒软件各组成部分的自动启动方法。 二、实验内容与要求 在注册表自动加载程序主键中,添加加载目标程序键值,重启操作系统,检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值,并用其中某一个启动自己指派的程序。 检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。 三、实验环境与工具 操作系统:Windows XP/Windows Vista/Windows 工具软件:RegEdit.exe,AutoRuns,或其他注册表工具软件;杀毒软件 四、实验步骤与实验结果 能自动启动目标程序的键值分别有: 本地系统永久自动启动: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 本地系统一次自动启动: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce] 硬软件配置的永久自动启动: [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 硬软件配置的一次自动启动: [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce] 系统服务的永久自动启动: [HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 指派程序:利用[HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]键值启动QQ程序。 win+R进入注册表打开该位置新建可扩充字符串值,键值名为”QQ自动启动”,键值数值为QQ 主程序的位置,如图 : 设置完成后,开机重启目测QQ程序是否开机启动,效果如图: 计 算 机 病 毒 实验报告 姓 名: 学 号: 老 师: 日 期: 1 一.PE文件感染实验 一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件 病毒感染文件过程: 重定位,获得所有API地址: 2 通过软件Stud_PE可查看可执行文件KeyMaker.exe的结构可查看文件内容: 1.判断目标文件开始的两个字节是否为“MZ”: 2.判断PE文件标记“PE”: 3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续: 3 4.读取IMAGE_FILE_HEADER的NumberOfSections域,获得Data Directory的个数,: 5.得到节表起始位置。。 6.得到节表的末尾偏移 节表起始位置+节的个数*=节表的末尾

文档评论(0)

1亿VIP精品文档

相关文档