20##-20##年第2学期
病毒理论与防御技术实验报告
20##年3月1日
实验一:**********
一、实验目的
1)掌握PE文件格式。
2)了解PE病毒原理。
二、实验步骤
1)阅读CVC杂志。
2)学习使用PE Explorer查看不同PE结构文件格式,如exe和dll。
3)文件型病毒演练。
a)实验测试的示例程序包由教师提供,解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。
b)为了保持测试的一般性,我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。
c)测试时请依照软件提示进行,在测试中,我们发现该测试包还具有典型性特点:其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组,它们在感染后能够明显的体现病毒的基本特征,故而杀毒软件Norton能够比较及时的查出是病毒程序;而ebookedit.exe 和 ebrand-it.exe 是另一类程序,它们在感染后很好地体现了病毒的隐藏的特征,在运行初期,杀毒程序很难查出其为病毒程序,只有在该程序感染其他可执行程序,在宿主程序中添加4k的节时,杀毒软件检测到该行为时才能判断是病毒程序。
三、思考题
1、详细记录实验步骤、现象、问题。
l 实验现象:
1)PE文件格式
按节组织(section)->中病毒之后section number变多(多了一个IS节)
中病毒之后Address of entry point程序入口点变化(调用子程序SUB_L0066D58B)
2)中病毒文件
中病毒文件也具有了感染其他文件的功能。
l 病毒重定位:
原因:病毒的生存空间就是宿主程序,而因为宿主程序的不同,所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。这就是病毒首先要重定位的原因。
…… …… 余下全文