- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
编号:
实验
一
二
三
四
五
六
七
八
总评
教师签名
成绩
武汉大学计算机学院
课程实验(设计)报告
课程名称 : 软件安全实验
实验内容 : PE病毒实验
专业(班) : 12级信安一班
学 号 : 2012302530026
姓 名 : 郭蕊
任课教师 : 彭国军
年 月 日
目 录
TOC \o 1-4 \h \z \u HYPERLINK \l _Toc15867 实验3 PE病毒分析与清除 PAGEREF _Toc15867 1
HYPERLINK \l _Toc22 3.1实验名称 PAGEREF _Toc22 1
HYPERLINK \l _Toc21538 3.2实验目的 PAGEREF _Toc21538 1
HYPERLINK \l _Toc9561 3.3实验步骤及内容 PAGEREF _Toc9561 1
HYPERLINK \l _Toc13394 3.4实验关键过程、数据及其分析 PAGEREF _Toc13394 3
HYPERLINK \l _Toc32632 3.4.1 熟悉masm32 PAGEREF _Toc32632 3
HYPERLINK \l _Toc30207 3.4.2 熟悉病毒重定位的基本思路和方法 PAGEREF _Toc30207 5
HYPERLINK \l _Toc2543 3.4.3 搜索API函数地址 PAGEREF _Toc2543 7
HYPERLINK \l _Toc10561 3.4.4 编译教材中的感染例子程序 PAGEREF _Toc10561 9
HYPERLINK \l _Toc13526 3.4.5 课后习题思考 PAGEREF _Toc13526 11
HYPERLINK \l _Toc9386 3.5实验体会和拓展思考 PAGEREF _Toc9386 12
实验3 PE病毒分析与清除
3.1实验名称
PE病毒分析与清除
3.2实验目的
了解PE病毒的基本原理
熟悉PE病毒中的部分关键技术
学会清除PE病毒
3.3实验步骤及内容
第一阶段:
熟悉Masm32
下载masm32v8
熟悉masm32的基本环境
写一个最简单的helloworld程序,并编译成功
对得到的可执行文件进行反汇编,比较其反汇编代码和最初的汇编代码有哪些异同?
察看并理解masm32\bin下各个批处理程序,了解他们的大致功能
第二阶段:
熟悉病毒重定位的基本思路和方法
在hello-2.5.exe中添加一段代码,该段代码满足以下几个条件:
该段代码弹出一个对话框(标题:武大信安病毒重定位,内容:姓名+学号)
该段代码同时包括代码和字符串数据。
该段代码可以插入到.text节的任意指令之间,而不需要修改该段代码中的任何字节。
1.先用masm工具讲asm文件编译成exe文件,再用OD打开,进行反汇编
再用OD打开原hello2.5的exe文件,删除原代码中最后call exitprocess语句,将要添加的代码添加到原代码段的任意位置.
由于调用exitprocess和messagebox语句的后移,故原程序中的call语句相对寻址也需要做相应改动。
即可实现数据段的重定位:
第三阶段:
搜索API函数地址
用ollydbg打开hello-2.5.exe,获取Kernel32.dll模块基地址,定位到kernel32.dll模块
1.fs:[0]指向TEB结构,首先从fs:[30h]获得PEB地址。
2.然后通过PEB[0x0c]获得PEB_LDR_DATA数据结构地址。
然后通过从PEB_LDR_DATA[0x1c]获取InInitializationOrderModuleList.Flink地址。
4.最后在Flink[0x08]中得到KERNEL32.DLL模块的基地址。
从内存中的kernel32.dll模块获取函数LoadLibraryA和GetP
您可能关注的文档
最近下载
- 小学四年级语文上册课堂作业(书籍版).pdf VIP
- (高清版)T 19964-2024 光伏发电站接入电力系统技术规定.pdf VIP
- TB∕T 1632.2-2014 钢轨焊接 第2部分:闪光焊接.pdf
- 关于幼儿“告状”行为及其指导策略的研究.docx
- 边坡治理设计合同.docx
- 过年习俗课件.pptx VIP
- 07SG359-5(无水印免积分).pdf
- 阿尔茨海默病患者日常生活能力和精神行为症状及认知功能全面管理中国专家共识.ppt VIP
- 党纪学习教育个人问题检视清单及整改措施(“学纪”、“知纪”、“明纪”、“守纪”四个方面各十条问题和整改措施).docx VIP
- 初中数学名师工作室工作总结PPT.pptx
文档评论(0)