病毒实验报告.docVIP

试验一 手动分析PE文件格式 实验目的： 手动分许PE文件 二、实验工具： Stud_PE、WinHex、任意一个PE文件、一台电脑。 三、实验原理： 按照PE文件文件结构，能够实现手动分析。 四、实验步骤： 打开WinHex，导入要分析的文件：File—Open 我分析的是Storm.exe文件。 查看文件前两个字节，是否为4D5A，如果是，转到第3步，否则该文件不是PE文件。如图1.1 图1.1：storm.exe文件分析 查看偏移地址3CH处的四个字节C0 00 00 00，C0H即为NT映像头的始址。如图1.2 图1.2：查看偏移地址 查看偏移地址分别为C0 00 00 00处的四个字节 偏移地址分别为C0 00 00 00处的四个字节为50 45 00 00说明该文件是PE文件，否则不是PE文件 下面是对PE头文件的分析结果： IMAGE_FILE_HEADER size Machine 2 4C 01 014C X86 NumberOfSections 2 3 三个节 TimeDateStamp 4 35 6A 09 49 文件生成时间 PointerToSymbolTable 4 00 00 00 00 COFF符号表的偏移 NumberOfSymbols 4 00 00 00 00 符号数目 SizeOfOptionalHeader 2 E0 可选头的大小 Characteristics 2 0F 01 标记 IMAGE_OPTIONAL_HEADER Magic 2 010B 幻数，一般是010BH MajorLinkerVersion 1 5 连接程序的主版本号 MinorLinkerVersion 1 0C 连接程序的次版本号 SizeOfCode 4 4000 代码段的总尺寸 SizeOfInitializedData 4 00 06 00 00 已初始化的数据总尺寸 SizeOfUninitializedData 4 00 00 00 00 未初始化的数据总尺寸 AddressOfEntryPoint 4 1045 开始执行位置 BaseOfCode 4 1000 代码节开始的位置 BaseOfData 4 5000 数据节开始的位置 ImageBase 4 400000 可执行文件的默认装入的 内存地址 SectionAlignment 4 1000 可执行文件的默认装入的 内存时节的对齐数字 FileAlignment 4 1000 文件中节的对齐数字， 一般是一个扇区长 MajorOperatingSystemVer 2 400 要求最低操作系统版本号 的主版本号 MinorOperatingSystemVer 2 00 00 要求最低操作系统版本号 的次版本号 MajorImageVersion 2 00 00 可执行文件主版本号 MinorImageVersion 2 00 00 可执行文件次版本号 MajorSubsystemVersion 2 04 00 要求最小系统主版本号 MinorSubsystemVersion 2 00 00 要求最小系统次版本号 Win32VersionValue 4 00 00 00 00 SizeOfImage 4 8000 装入内存后映像的总尺寸 SizeOfHeaders 4 1000 NT映像头+节表的大小 CheckSum 4 00 00 00 00 检验和 Subsystem 2 02 00 可执行文件的子系统 DllCharacteristics 2 00 00 何时DllMain被调用， 一般为0 SizeOfStackReserve 4 00 00 10 00 初始化线程时保留的 堆栈大小 SizeOfStackCommit 4 00 10 00 00 初始化线程时提交的 堆栈大小 SizeOfHeapReserve 4 00 10 00 00 进程初始化时保留的 堆栈大小 SizeOfHeapCommit 4 00 10 00 00 进程初始化时提交的 堆栈大小 LoaderFlags 4 00 00 00 00 此项与调试有关 NumberOfRvaAndSizes 4 10 00 00 00 数据目录的项数， 五、实验总结： 通过对PE文件的手动分析，我懂得了PE文件的文件格式。为以后的学习打下了坚实的基础。 试验二、编写PE文件分析工具 一、实验目的： 编写一个工具，自动分析PE文件，要能判断是否是PE文件，能分析PE文件头文件个数据项的分析 二、实验原理： 可以通过一个叫做IMAGE_DOS_HEADER的结构来识别一个合法的DOS头。这个结构的头两 个字节一定是“MZ”（#define IMAGE_DOS_SIGNATURE