第章传统计算机病毒.pptVIP

图例16 ???? 图解说明：注解16-1提示病毒携带程序KeyMaker.exe的开始感染其他程序，后面的步骤与步骤4开始类似。 ? ???? 演示说明：无 病毒携带程序KeyMaker.exe的开始感染提示，如下图： 步骤16： 恶意代码与计算机病毒 -原理、技术和实践 图例17 ???? 图解说明：注解17-1是病毒携带程序KeyMaker.exe的运行界面。 ???? 演示说明：无 病毒携带程序KeyMaker.exe不进行感染运行主程序图示，如下图： 步骤17： 恶意代码与计算机病毒 -原理、技术和实践 图例18 ???? 图解说明：注解18-1表示Norton AntiVirus的自动防护功能打开着；注解18-2是目标感染程序(此处是刚复制过来的未感染的测试程序)；注解18-3表示正在运行的是病毒携带程序ebookedit.exe；注解18-4提示当前感染过程结束，在宿主程序ebookcode.exe增加一个节，修改了文件头；注解18-5提示该过程被检测有病毒程序在运行，从而进行病毒预警提示。 ???? 演示说明：详见备注 病毒携带程序ebookedit.exe的感染过程被防病毒程序检测到的图示，如下图： 步骤18： 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 Any Questions? * aaa * * * * * PE格式实验步骤 WinPE 察看器演示 Exe Dll 源代码级PE察看器演示 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 恶意代码与计算机病毒 -原理、技术和实践 32位文件型病毒实验（综合实验一） 本实验是根据3.3.2节的文件型病毒编制技术而设计的原型病毒。之所以设计成原型病毒，是因为考虑到信息安全课程的特殊性。学习病毒原理的目的是为了更好地防治病毒，而不是教各位读者编写能运行于实际环境的病毒。 【实验目的】 了解文件型病毒的基本制造原理。 了解病毒的感染、破坏机制，进一步认识病毒程序。 掌握文件型病毒的特征和内在机制。 恶意代码与计算机病毒 -原理、技术和实践 【实验环境】 运行环境Windows 2000、Windows 9x、Windows NT和Windows XP。 【实验步骤】 文件位置：附书资源目录\Experiment\win32virus。 目录中的virus.rar包中包括Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序，用于测试病毒程序。 恶意代码与计算机病毒 -原理、技术和实践 预备步骤：将example.rar解压缩到某个目录，比如D:\virus\example。解压完毕后，应该在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序，然后把virus.rar包解压后的Virus.exe复制到该目录中。 实验内容：通过运行病毒程序观看各步的提示以了解病毒的内在机制。详细的演示步骤参见教学PPT。 恶意代码与计算机病毒 -原理、技术和实践 【实验注意事项】 本病毒程序用于实验目的，请妥善使用。 在测试病毒程序前，请先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。 本程序是在开发时面向实验演示用的，侧重于演示和说明病毒的内在原理，破坏功能有限；而且前流行的病毒破坏方式比较严重，而且发作方式非常隐蔽，千万不要把其他病毒程序采用本例的方式来进行直接运行测试。 测试完毕后，请注意病毒程序的清除，以免误操作破坏计算机上的其他程序。 恶意代码与计算机病毒 -原理、技术和实践 32位PE可执行文件型病毒详细步骤 病毒引导说明： 文件型病毒，没有引导部分演示 病毒传染说明： 传染范围：Virus.exe所在目录 传染目标：可执行文件(.exe) 传染过程：搜索目录内的可执行文件，逐个感染 病毒触发说明： 触发条件：运行Virus.exe程序或被Virus.exe感染的程序 恶意代码与计算机病毒 -原理、技术和实践 32位PE可执行文件型病毒详细步骤 病毒破坏说明：???????? 破坏能力：无害型 传染时减少磁盘的可用空间，在可执行文件上附加一个节(4K)???????