实验报告1

姓名： 班级： 学号：

实验题目：___实验一文件病毒__________________

一、 实验目的

通过实验，了解引导区病毒、COM病毒的传播原理的感染对象和感染特征，重点学习导病毒的感染过程。

二、实验内容

引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制。DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制。

二、 实验步骤

1、 环境安装：安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10环境。安装步骤

参考MSDOS71目录的虚拟机上安装MSDOS文件。

2、 软盘感染硬盘：

3、 验证硬盘已经被感染

4、 硬盘感染软盘：在“4.1bootvirus”目录资源中拷贝empty.img，并且将它插入虚拟机，

启动电脑，由于该盘为空。取出虚拟软盘，从硬盘启动，通过命令format A: /q快速格式化软盘。可能提示出错，这时只要按R即可

5、 COM文件病毒:

(1) 安装虚拟机VMWare，安装步骤参考网上下载的实验配套资料“解压缩目录

\Application\MSDOS71\虚拟机上安装MSDOS.doc”文档。

(2) 在虚拟机环境内安装MS-DOS 7.10环境。

(3) 在MS-DOS C:\MASM目录下安装MASM611，然后将binr目录下的link.exe

复制到bin目录下。

(4) 从“4.2COMvirus”目录中下复制病毒程序Virus.asm及测试程序源代码

BeInfected.asm到虚拟机中。

(5) 编译链接BeInfected.asm，形成BeInfected.com测试程序。

(6) 编译链接virus.asm，生成病毒程序virus.exe。

(7) 在C:\MASM\Bin目录下建立del.txt文件，并且将BeInfected.com和病毒virus.com复制到此目录下。

(8) 执行BeInfected.com，观察未感染前的运行结果。

(9) 执行virus.exe文件以感染BeInfected.com文件并且自动删除del.txt。

(10) 执行BeInfected.com观察感染后的结果。

三、实验总结

通过本次实验了解引导区病毒、COM病毒的传播原理的感染对象和感染特征，重点学习导病毒的感染过程。

第二篇：计算机病毒实验报告-1

20##-20##年第2学期

病毒理论与防御技术实验报告

20##年3月1日

实验一：**********

一、实验目的

1）掌握PE文件格式。

2）了解PE病毒原理。

二、实验步骤

1）阅读CVC杂志。

2）学习使用PE Explorer查看不同PE结构文件格式，如exe和dll。

3）文件型病毒演练。

a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。

b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。

c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton能够比较及时的查出是病毒程序；而ebookedit.exe 和 ebrand-it.exe 是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加4k的节时，杀毒软件检测到该行为时才能判断是病毒程序。

三、思考题

1、详细记录实验步骤、现象、问题。

l  实验现象：

1)PE文件格式

按节组织（section）->中病毒之后section number变多（多了一个IS节）

中病毒之后Address of entry point程序入口点变化（调用子程序SUB_L0066D58B）

2）中病毒文件

中病毒文件也具有了感染其他文件的功能。

l  病毒重定位：

原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。那么病毒需要用到的变量的位置就无法确定。这就是病毒首先要重定位的原因。

目的：找到基址

举例：在几乎每个病毒的开头都用下面的语句:

      call    delta

delta: 

pop     ebp                      ;得到delta地址

sub     ebp,offset delta         ;因为在其他程序中基址可能不是默认的所以需要重定位

    mov     dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置

l  API函数地址的获取：

步骤：首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.

2、写下你阅读CVC杂志后的读后感，你同意杂志的所表达的倾向吗，你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系，为什么？

CVC杂志很有意思，语言幽默，观点明确，并且总结了很多关于病毒的基础知识。

病毒虽然只是一种程序，但是由于其特殊性以及因为日常生活中缺少对病毒的了解，使其显得很神秘，所以很有必要对其做专门的说明。

并且目前确实有一部分人“把写病毒当做炫耀的资本”，除此之外，利用病毒谋取利益也是现阶段病毒肆虐的原因之一。

研究不是为了破坏而是为了知己知彼。病毒中确实也有很多高超的技巧值得我们学习。

3、通过WinPE查看器PE explorer，EXE文件和DLL文件有什么区别？

DLL有Export表，EXE文件没有。

4、通过文件型病毒感染实验，回答病毒是如何感染文件的，使用了些什么技术？

重定位技术

获取API函数地址

硬盘搜索技术

5、清除你的所中病毒，并总结病毒预防、发现、清除机制。

清除所中病毒：删除IS节，将入口地址改成原文件的入口地址。或者使用IceSword软件。

病毒预防：避免下载和接收不知名的文件

病毒发现：软件字节数增加，节增加，入口地址改变

四、实验心得

五、实验反馈

实验二：**********

一、实验目的

二、实验内容

三、思考题

四、实验心得

五、实验反馈

实验三：**********

一、实验目的

二、实验内容

三、思考题

四、实验心得

五、实验反馈

实验四：**********

一、实验目的

二、实验内容

三、思考题

四、实验心得

五、实验反馈

扩展题分析