原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
计算机病毒
实验报告
姓名:
学号:
老师:
日期:
1
一.PE文件感染实验
一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式)
病毒感染文件过程(以感染文件KeyMaker.exe为例):
重定位,获得所有API地址:
2
通过软件Stud_PE可查看可执行文件KeyMaker.exe的结构可查看文件内容:
1.判断目标文件开始的两个字节是否为“MZ”:
2.判断PE文件标记“PE”:
3.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续:
3
4.读取IMAGE_FILE_HEADER的NumberOfSections域,获得DataDirectory(数据目录)
的个数,(每个数据目录信息占8个字节):
5.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置)。
6.得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)
节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移。
4
7.开始写入节表,感染文件:
二:在掌握Stud_PE工具的基础上,比较文件感染前后有哪些变化。
感染前:
感染后:
5
由上两图可以看出,感染前后有4处发生了变化:
1:PE文件头中入口点:
感染病毒后KeyMaker.exe程序的入口点变成了病毒文件的入口点。
2:PointerToRawData域值,即该文件的偏移量发生了变化;
3:imag的大小发生了变化;
4:Numberofsections的数量发生了变化。
6
7
由.exe文件感染前后变化可知,PE病毒感染过程即在文件中添加一个新节,把病毒代
码和病毒执行后返回宿主程序的代码写入新添加的节中,同时修改PE文件头中入口点
(AddressOfEntryPoint),使其指向新添加的病毒代码入口。
程序染毒后运行结果:
1:首先执行病毒程序:
2:病毒代码执行完后执行宿主程序:
8
三:针对病毒源代码,指出与感染PE文件步骤相对应的程序段
1.判断目标文件开始的两个字节是否为“MZ”。
leaeax,[ebx+offsetszMsg1]
pusheax
callSingleTest
2.判断PE文件标记“PE”。
cmpwordptr[edi],IMAGE_DOS_SIGNATURE
jnePageError
movesi,edi
addesi,[esi+003ch]
cmpwordptr[esi],I
文档评论(0)