中南大学病毒攻击与防范.docx

病毒攻击与防范实验报告 学 院：　 信息科学与工程学院 专业班级： 信息安全1401班 指导老师： 　 张健 学 号： 　 0906140106 姓 名： 　 孙 毅目录实验一 PE文件格式的分析和构造1一、实验目的1二、实验要求1三、实验环境1四、实验相关知识1五、实验步骤11.WinHex编辑器的安装和使用12.DOS头的填充23.PE头34.段表的填写55.各个段实际内容的构造76.运行PE文件10实验二 PE文件的加载、重定位和执行过程11一、实验目的11二、实验要求11三、实验环境11四、实验相关知识11五、实验步骤111. 将文件读入内存112. 读取文件头部123 .组装IMAGE124.导入表的处理135.加载到指定地址136.跳转到入口执行14实验三 脚本病毒的分析16一、实验目的16二、实验要求16三、实验环境16四、实验相关知识161.分析与防范162.VBS脚本病毒的发展与特点16五、实验步骤171.windows虚拟机的安装172.在虚拟机上运行后续步骤的程序173.在硬盘中建立文件174.修改文件的内容185.把文件复制到指定目录186.写注册表19实验四 蠕虫病毒的分析20一、实验目的20二、实验要求20三、实验环境20四、实验相关知识201.蠕虫的基本结构和传播过程202.蠕虫的入侵过程213.蠕虫的一般传播模式214.蠕虫的其他可能传播模式21五、实验步骤21总结28实验一 PE文件格式的分析和构造一、实验目的了解PE结构;分析PE结构中每个部分的作用和特征，能用特定的工具手工构造一个基于PE的可执行文件。二、实验要求用WINHEX工具，按照PE文件的格式自己生成一个PE格式EXE文件三、实验环境PC机一台Windows操作系统Visual Studio 2012WinHex编辑器四、实验相关知识1.WinHex编辑器的使用2.PE文件结构(1)DOS头(2)PE头(3)节表(4)导入表五、实验步骤1.WinHex编辑器的安装和使用首先要准备的是WinHex编辑器。打开之后新建一个文件，输入文件长度为1之后确定，就会看到如下界面，我们就要在这里面，把所需数据按规则填到合适的位置，最后保存成exe就可以直接运行了。这个程序要能弹出一个对话框，显示一句HelloPE，然后结束。2.DOS头的填充PE格式可以分为3个部分，第一块是DOS头，第二块是PE头，第三块是PE数据区。DOS头是为了兼容DOS系统而存在的，当此程序运行在DOS系统下时，会运行DOS头里的程序，一般只是打印一句话：This Program cannot be run in DOS mode。DOS头中包含两个部分：DOS MZ和DOS STUB。DOS MZ是一个IMAGE_DOS_HEADER 结构，IMAGE_DOS_HEADER是一个在系统中定义好的一种结构体，可以直接当变量类型申明使用，需要包含windows.h头文件计算一下DOS头的大小。DOS MZ部分是固定大小的结构体。它由30个WORD和1个DWORD组成，总共64，也就是40H个字节，每行16个字节的话，正好是四行。 在填充文件之前，我们要让文件尺寸增加为64个字节。在已有的那个字节处点击右键，选edit->paste zero bytes，输入63（DOS MZ大小为64字节，之前已经输入过一个字节，所以增加63个字节）点确定，63个00（每4位表示一个16进制值，两个值正好就是8位，即一个字节）就被增加到了开始那个字节的后面。设计一下DOS MZ中各成员的值，其中对我们有用的只有两个值：e_magic和e_lfanew。e_magic相当于一个标志，所有PE文件都必须以“MZ”开始。“MZ”的十六进制值是 4D 5A，所以我们在第一个成员对应的位置，也就是文件开始处填入4D5A。e_lfanew中的值表示DOS头后面内容的FOA，也可以用来确定DOS头的大小。在windows下写的程序， DOS STUB是没有作用的，因此也可以直接全部填0。将它长度设置为70H个字节，也就是从40H-AFH这一段。确定了DOS STUB的大小，就可以填入e_lfanew的值了，因为DOS头后面的内容是从B0H开始的，所以e_lfanew的值为00 00 00 B0，填入文件时应该为B0 00 00 00（请自行了解大小端机的概念，字符串按正序存入）。DOS MZ中其余成员全部填00，完成之后如下图所示，黄色部分为DOS MZ，绿色为DOS STUB。3.PE头在DOS头下面，紧接着是PE头（FOA = B0H处开始）。它相当于一个PE程序的总体描述，里面记录了很多PE数据和属性信息。Signature标志， 4字节，值为“PE\0\0”，所以我们在B0