《反病毒实验二报告》由会员分享,可在线阅读,更多相关《反病毒实验二报告(3页珍藏版)》请在金锄头文库上搜索。
1、中国矿业大学计算机科学与技术系实验报告课程名称 计算机病毒与反病毒技术 实验名称PE结构分析及DOS病毒感染与清除班级信安08-1班 姓名汤砚晗学号08083637 实验日期2008.6.24实验报告要求:1.实验目的 2.实验内容 3.实验步骤 4.运行结果 5.流程图 6.实验体会 一、 实验目的 1熟悉PE文件结构 2掌握DOS系统下.EXE文件病毒感染与清除方法二、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址; 2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、 PEditor、Stud_PE等工具软件
2、查看、分析PE文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; 3)示例病毒exe_v感染原理及其清除三、实验步骤 【构建编译环境】 安装RadASM(在此安装到D盘下) 设定系统环境变量为 INCLUDE=D:RadASMmasm32include LIB=D:RadASMmasm32inc 注销使环境变量生效 关闭所有杀毒软件 (2).使用RadASM 新建一个asm文件,名为hostPE.asm,使用RadASM编译连接生成hostPE.exe(4) 把原hostPE文件复制一个作为备份,拷贝到其他文件夹,留一个拷贝与Immunity.exe放在同一
3、文件夹下(5) 运行Immunity.exe(6) 比较host_pe.exe 文件与原来的.exe文件的变化。(7) 手工清除Immunity病毒四、 实验结果 五、实验体会 Immunity.exe 病毒不驻留内存,也没有采用加密、压缩、变形等技术,启动的时候,首先获取所需的API函数的地址,然后在当前目录下查找host_pe.exe文件,若没有找到,则在Windows目录、System/System32目录下继续查找。在找到host_pe.exe后,判断是否是PE文件、是否已经被感染等,若条件满足,则在host_pe.exe中添加名为.A的节(我使用的病毒源码如此),并将病毒代码写入其中
4、,然后修改文件头,使得入口地址指向刚添加的节。最后,将全部节未对齐大小设置为对齐后的大小,制造不存在空洞的假象,从而达到避免被CIH病毒寄生感染的免疫目的。六、实验小结 Immunity表面上是为了使程序“免疫”CIH病毒这种利用空洞进行感染的恶意程序,但是该程序会使得经过免疫处理的PE文件变大、运行缓慢。在使用RadASM进行汇编连接过程中出现了”找不到*.inc“的错误,后来通过设置系统环境变量、修改代码而得以解决。随着安全技术的不断发展,像CIH、Immunity这种设计精巧的病毒已经越来越少见,但是安全技术的发展并不能完全起到相应的保证作用。现代的”钓鱼网站“、”购物欺诈“等都是由于用户安全意识淡薄造成的,病毒本身往往技术含量低,很容易被查杀,但用户却容易受到欺骗自己手动关闭杀毒软件,这种现象更值得深思。教师评价优良中及格不及格教师签名日期 / 文档可自由编辑打印
