反病毒实验二报告 本文关键词:反病毒,实验,报告
反病毒实验二报告 本文简介:中国矿业大学计算机科学与技术系实验报告课程名称计算机病毒与反病毒技术实验名称PE结构分析及DOS病毒感染与清除班级信安08-1班姓名汤砚晗学号08083637实验日期2008.6.24实验报告要求:1.实验目的2.实验内容3.实验步骤4.运行结果5.流程图6.实验体会一、实验目的1.熟悉PE文件结构
反病毒实验二报告 本文内容:
中国矿业大学计算机科学与技术系实验报告
课程名称
计算机病毒与反病毒技术
实验名称PE结构分析及DOS病毒感染与清除
班级信安08-1班
姓名汤砚晗学号08083637
实验日期2008.6.24
实验报告要求:1.实验目的
2.实验内容
3.实验步骤
4.运行结果
5.流程图
6.实验体会
一、
实验目的
1.熟悉PE文件结构
2.掌握DOS系统下.EXE文件病毒感染与清除方法
二、实验内容
1)手工或编程从user32.dll中获得MessageBoxA的函数地址;
2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE
Explorer、
PEditor、Stud_PE等工具软件查看、分析PE文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改;
3)示例病毒exe_v感染原理及其清除
三、实验步骤
【构建编译环境】
安装RadASM(在此安装到D盘下)
设定系统环境变量为
INCLUDE=D:/RadASM/masm32/include
LIB=D:/RadASM/masm32/inc
注销使环境变量生效
关闭所有杀毒软件
(2).使用RadASM
新建一个asm文件,名为hostPE.asm,使用RadASM编译连接生成hostPE.exe
(4)
把原hostPE文件复制一个作为备份,拷贝到其他文件夹,留一个拷贝与Immunity.exe放在同一文件夹下
(5)
运行Immunity.exe
(6)
比较host_pe.exe
文件与原来的.exe文件的变化。
(7)
手工清除Immunity病毒
4、
实验结果
五、实验体会
Immunity.exe
病毒不驻留内存,也没有采用加密、压缩、变形等技术,启动的时候,首先获取所需的API函数的地址,然后在当前目录下查找host_pe.exe文件,若没有找到,则在Windows目录、System/System32目录下继续查找。
在找到host_pe.exe后,判断是否是PE文件、是否已经被感染等,若条件满足,则在host_pe.exe中添加名为.A的节(我使用的病毒源码如此),并将病毒代码写入其中,然后修改文件头,使得入口地址指向刚添加的节。
最后,将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象,从而达到避免被CIH病毒寄生感染的免疫目的。
六、实验小结
Immunity表面上是为了使程序“免疫”CIH病毒这种利用空洞进行感染的恶意程序,但是该程序会使得经过免疫处理的PE文件变大、运行缓慢。在使用RadASM进行汇编连接过程中出现了”找不到*.inc“的错误,后来通过设置系统环境变量、修改代码而得以解决。随着安全技术的不断发展,像CIH、Immunity这种设计精巧的病毒已经越来越少见,但是安全技术的发展并不能完全起到相应的保证作用。现代的”钓鱼网站“、”购物欺诈“等都是由于用户安全意识淡薄造成的,病毒本身往往技术含量低,很容易被查杀,但用户却容易受到欺骗自己手动关闭杀毒软件,这种现象更值得深思。
教师评价
优
良
中
及格
不及格
教师签名
日期