第4章 传统计算机病毒.pptVIP

步骤11： 该图例与步骤6的图例同步，该图例是目标程序不合法或已被感染后的提示，如下图： 图例11 ???? 图解说明：注解11-1是目标程序不合法或已被感染的提示。 ???? 演示说明：Virus.exe可感染的目标为标准的可执行文件(绝大部分的.exe文件)，在感染过程中对已感染的程序会进行检查是否已被感染，若已经被感染则不再进行感染：一可以提高病毒感染的效率，二可以防止多次感染使文件增大而引起用户的察觉。 步骤12： 比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)： 图例12 图解说明：注解12-1是KeyMaker.exe程序感染前的大小298 KB(305,664 字节)；注解12-2是KeyMaker.exe程序感染后的大小302 KB(309,760)。 步骤12： 比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)： 图例12A 步骤12： 比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)： 图例12B 图解说明：图例12A、12B、12C、12D是通过PE Viewer程序打开目标程序的图示。对照图例12A和12B的注解：注解1表示KeyMaker.exe程序的节数由感染前的9个增加到10个；注解2程序大小的变化加注解3是程序入口地址的变化由00043DE8变为00054B93;注解4是程序占用空间的变化加注解5是程序校验和的变化由0004C1FB变为0004C543。 步骤12： 比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)： 图例12C 步骤12： 比较目标程序感染前后的变化(注要指程序大小)，如下图(图例12；图例12A和图例12B；图例12C和图例12D)： 图例12D ???? 图解说明：对照图例12C和12D的注解：注解1表示增加的一个节的具体内容。 ???? 演示说明：这就是程序被感染后的结果，目标程序被增加一个节(4 KB=4096字节)，程序入口地址被修改，程序大小和占有空间增加4K。 步骤13： 测试感染后程序是否为病毒携带程序的图示，如下图： 图例13 ???? 图解说明：注解13-1表示Norton AntiVirus的自动防护功能打开着；注解13-2就是防病毒软件在用户鼠标置于图例13中注解13-3处的KeyMaker.exe程序上时的报警提示。 ???? ???? 演示说明：由此病毒报警提示可知KeyMaker.exe已被感染，成为病毒Virus.exe携带者，并已具有病毒程序Virus.exe的特征。此处为了防止Virus.exe影响测试结果，在测试时把Virus.exe放到临时目录temp中，主目录留下被Virus感染的程序。 步骤14： 病毒携带程序KeyMaker.exe的运行情况，如下图： 图例14 ???? 图解说明：注解14-1表示Norton AntiVirus的自动防护功能被关闭；注解14-2为病毒携带程序KeyMaker.exe运行初始界面；注解14-3表示当前运行是KeyMaker.exe。 ???? ???? 演示说明：运行KeyMaker.exe来检查程序被感染的情况以及该程序是否具有感染功能，在演示时为了能够测试效果，应该将其他的可执行文件换成未被感染的程序，只需从原先的测试包中将除KeyMaker.exe外的可执行文件拷贝过来复制即可。 步骤15： 是否观看病毒携带程序KeyMaker.exe的感染过程提示，如下图： 图例15 ???? 图解说明：注解15-1是否观看病毒携带程序KeyMaker.exe的感染过程提示。选择“是”观看感染过程，参照步骤16图示；选择“否”运行原程序，参照步骤17图示。 ???? ???? 演示说明：无 步骤16： 病毒携带程序KeyMaker.exe的开始感染提示，如下图： 图例16 ???? 图解说明：注解16-1提示病毒携带程序KeyMaker.exe的开始感染其他程序，后面的步骤与步骤4开始类似。 ? ???? 演示说明：无 步骤17： 病毒携带程序KeyMaker.exe不进行感染运行主程序图示，如下图： 图例17 ???? 图解说明：注解17-1是病毒携带程序KeyMaker.exe的运行界面。 ???? 演示说明：无 步骤18： 病毒携带程序ebookedit.exe的感染过程