pe病毒与清除实验.docx

  1. 1、本文档共16页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
编号: 实验 一 二 三 四 五 六 七 八 总评 教师签名 成绩 武汉大学计算机学院 课程实验(设计)报告 课程名称 : 软件安全实验 实验内容 : PE病毒实验 专业(班) : 12级信安一班 学 号 : 2012302530026 姓 名 : 郭蕊 任课教师 : 彭国军 年 月 日 目 录 TOC \o 1-4 \h \z \u HYPERLINK \l _Toc15867 实验3 PE病毒分析与清除 PAGEREF _Toc15867 1 HYPERLINK \l _Toc22 3.1实验名称 PAGEREF _Toc22 1 HYPERLINK \l _Toc21538 3.2实验目的 PAGEREF _Toc21538 1 HYPERLINK \l _Toc9561 3.3实验步骤及内容 PAGEREF _Toc9561 1 HYPERLINK \l _Toc13394 3.4实验关键过程、数据及其分析 PAGEREF _Toc13394 3 HYPERLINK \l _Toc32632 3.4.1 熟悉masm32 PAGEREF _Toc32632 3 HYPERLINK \l _Toc30207 3.4.2 熟悉病毒重定位的基本思路和方法 PAGEREF _Toc30207 5 HYPERLINK \l _Toc2543 3.4.3 搜索API函数地址 PAGEREF _Toc2543 7 HYPERLINK \l _Toc10561 3.4.4 编译教材中的感染例子程序 PAGEREF _Toc10561 9 HYPERLINK \l _Toc13526 3.4.5 课后习题思考 PAGEREF _Toc13526 11 HYPERLINK \l _Toc9386 3.5实验体会和拓展思考 PAGEREF _Toc9386 12 实验3 PE病毒分析与清除 3.1实验名称 PE病毒分析与清除 3.2实验目的 了解PE病毒的基本原理 熟悉PE病毒中的部分关键技术 学会清除PE病毒 3.3实验步骤及内容 第一阶段: 熟悉Masm32 下载masm32v8 熟悉masm32的基本环境 写一个最简单的helloworld程序,并编译成功 对得到的可执行文件进行反汇编,比较其反汇编代码和最初的汇编代码有哪些异同? 察看并理解masm32\bin下各个批处理程序,了解他们的大致功能 第二阶段: 熟悉病毒重定位的基本思路和方法 在hello-2.5.exe中添加一段代码,该段代码满足以下几个条件: 该段代码弹出一个对话框(标题:武大信安病毒重定位,内容:姓名+学号) 该段代码同时包括代码和字符串数据。 该段代码可以插入到.text节的任意指令之间,而不需要修改该段代码中的任何字节。 1.先用masm工具讲asm文件编译成exe文件,再用OD打开,进行反汇编 再用OD打开原hello2.5的exe文件,删除原代码中最后call exitprocess语句,将要添加的代码添加到原代码段的任意位置. 由于调用exitprocess和messagebox语句的后移,故原程序中的call语句相对寻址也需要做相应改动。 即可实现数据段的重定位: 第三阶段: 搜索API函数地址 用ollydbg打开hello-2.5.exe,获取Kernel32.dll模块基地址,定位到kernel32.dll模块 1.fs:[0]指向TEB结构,首先从fs:[30h]获得PEB地址。 2.然后通过PEB[0x0c]获得PEB_LDR_DATA数据结构地址。 然后通过从PEB_LDR_DATA[0x1c]获取InInitializationOrderModuleList.Flink地址。 4.最后在Flink[0x08]中得到KERNEL32.DLL模块的基地址。 从内存中的kernel32.dll模块获取函数LoadLibraryA和GetP

文档评论(0)

独角戏 + 关注
实名认证
内容提供者

本人有良好思想品德,职业道德和专业知识。

1亿VIP精品文档

相关文档