〖计算机病毒分析与防范〗实验指导书doc.doc

《计算机病毒及其防范技术》 实验指导书 指导教师：雷帅贤 适用专业：计算机网络 内蒙古电子信息职业技术学院 2009年月目 录 实验1：WinHex读取硬盘主分区表 2 实验2：WinHex读MZ文件头 4 实验3：WinHex读PE文件头 5 实验1：WinHex读取硬盘主分区表 实验目的与要求 目的：要求：实验 学生自己的笔记本，网线，从ftp上下载WinHex软件 安装WinHex软件 实验内容步骤 内容： 步骤： 主引导记录(Master Boot Record，MBR) 主分区表即磁盘分区表(Disk Partition Table，DPT) 引导扇区标记(Boot Record ID/Signature) 安装WinHex软件，打开Winhex，查看磁盘内容 3）列举主分区表的意义上各个数据的意义 实验报告要求及 按成都东软信息技术学院《实验报告》格式填写 实验目的与要求 目的：要求：实验 学生自己的笔记本，Windows操作系统，WinHex软件，MZ文件 实验内容步骤 内容： 步骤： “MZ”开头，通常称之为MZ文件 MZ文件有一个文件头，用来指出每个段的定义，以及重定位表。.EXE文件摆脱了代码大小最多不能超过64K的限制，是DOS下最主要的文件格式 偏移 大小(字节) 描述 00 2 EXE文件类型标记： 4D5Ah(ASCII字符MZ) 02 2 文件最后一个扇区的字节数 04 2 文件的总扇区(页)数文件的大小=(总扇区数-1)×512+最后一个扇区的字节数 06 2 重定位项的个数 08 2 EXE文件头的大小(16字节的倍数) 0A 2 最小分配数(16字节的倍数) 0C 2 最大分配数(16字节的倍数) 0E 2 初始化堆栈段(SS初值) 10 2 初始化堆栈指针(SP初值) 12 2 补码校验和 14 2 初始代码段指针(IP初值) 16 2 初始代码段段地址(CS初值) 18 2 定位表的偏移地址(第一个重定位项偏移量) 1A 2 连接程序产生的覆盖号 2）使用WinHex打开一个MZ文件FDisk.exe，阅读它的文件头，查看其关键的信息 3）列出其关键信息，并找到病毒需要修改的字段 实验3：WinHex读PE文件头 目的：要求：实验 1）学生自己的笔记本 2）Windows操作系统 3）WinHex软件 4）PE文件 实验内容步骤 内容： 步骤： 使用 DEBUG调试工具将其改为嵌入“病毒代码”的实验性“病毒”程序，完成以下功能： 将“病毒”程序合并到“原”程序后部，形成合并后的 文件。 将“原”程序头部指令改为 JMP或 CALL, 程序入口改到“病毒”程序入口。 3观察带毒程序： 　　判断 程序的第一条指令将其改为首条 JMP 或CALL 指令，转向病毒程序入口地址。 检查病毒体长度。由于已改变“原”程序的主体，故程序增长。 运行验证，输入ESC键则显示仍为“hello”。否则，程序死循环。 分析思考 1． COM 文件病毒代码如何附着在病毒目标体上， 如何实现病毒代码对程序的控制权？ 　　病毒通过在宿主程序前添加3字节（跳转到病毒代拿的3字节JMP指令），在运行宿主程序时即获得的控制权限，搜索并感染目标文件，每感染一个髠文件，感染计数器增1，若感染数量到达设定值，则爆发（显示“Virus infection test!”等信息）。 实验5：宏病毒实践与分析 录制宏 以下用宏的制作讲述如何录制宏，示例宏名是“表格插入”，其作用是自动插入一个4x4的表格，通过快捷键CTRL+J或者“表格”菜单下子菜单“表格插入”，都能完成操作。 步骤： 1）打开word，新建一个文档，命名为“录制宏” 2）工具-宏-录制新宏 3）命名宏“表格插入”，先选择指定到“工具栏”，进入“命令”菜单，将刚才所建的宏拖动到word表格菜单下 4）然后选择“保存于”对话框，在这里可以选择保存于normal模板或者当前文件（两者都试一下，看有什么区别没） 5）在“自定义”对话框中选择“键盘”，进入快捷键的设置， 6）表格-插入表格，4x4表格。 7）点击“结束录制”，这样就完成了宏的制作，通过快捷键或者菜单栏可实现4x4表格的插入。 任务1：录制一个宏，要求：宏名为“美元符号”，每次利用快捷键CTRL+D就可实现插入美元符号，且该宏只对当前文档有效。 简单宏病毒的制作 感染所有的word文档，在C盘生成autoclose.txt文件，选择关闭按钮时，将会关闭计算机。 方法：新建word文档，按ALT+F11，打开宏编辑器，鼠标右击“Normal”，选择“插入”-“添加模块”，输入以下代码并保存 实验6特洛伊木马的配置步骤 1）生成服务端