病毒防范与分析实训报告.docVIP

苏 州 市 职 业 大 学 实习（实训）任务书 名 称： 病毒防范与分析实训 起讫时间： 2013年1月1日 ~2013年1月6日 院 系： 计算机工程系 班　　级： 10网络安全（CIW） 指导教师： 周莉、肖长水 系 主 任： 李金祥 实习（实训）目的和要求 掌握以网络管理员或者是专业人员，实现。 项目一、文件型病毒—PE病毒 1.实验目的 了解文件型病毒的原理，了解PE文件结构，了解文件型病毒的发现方法，了解病毒专杀工具的基本原理 2.实验工具 LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32、VC++6.0 3.实验内容 一．验证利用OllyDBG修改病毒感染程序 （1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。我发现hei0.exe文件的大小由感染之前的3KB变成了7KB，结果如图1-1、1-2所示： 图1-1：感染前hei0.exe的大小 图1-2：感染后hei0.exe的大小 （2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。如图1-3所示： 图1-3：打开要修复的文件 单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。测试两个程序不具有病毒的传染特性了，如图1-4、1-5、1-6所示： 图1-4：用ollyDump脱壳调试进程 图1-5：保存脱壳文件 图1-6：双击运行脱壳文件 二．病毒感染机制分析 （1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。 （2）进入实验平台，点击工具栏中的“PE”按钮，使用PE Explorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP--Address of Entry Point）和Image Base并分别记录。 OEP ImageBase hei0.ex_ hei.ex_ 点击“View”菜单中的“Section Headers”进入Section Headers页面，比对Section Header的数据信息并记录到下面表格。 Virtual Size Virtual Address Size of Raw Data Point to Raw Data hei0.ex_的.data hei.ex_的.data 00002A00h 由于一般文件型病毒只有代码段，数据和代码都存在一起。所以可以断定hei.ex_的.data段多出的数据即为病毒代码和数据。 （3）进入实验平台，单击工具栏中“UE”按钮，打开Ultra Editor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开 始的数据块为存储于.data节的病毒代码。如图1-7所示： 图1-7：比较文件 「注」 该段数据在.data节是因为hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的Point to