计算机病毒实验报告.docx

计算机病毒实验报告——windows病毒实验姓学班名:张艳秋号:081300607级:信安0802指导老师:韦俊银实验日期:(选).(选)PE文件感染实验实验目的了解pe病毒的感染过程实验环境硬件设备PC机一台(建议虚拟机)软件工具OfficeWord2007实验步骤一:参照病毒感染PE文件的7个步骤,记录病毒是如何感染文件(文字和截屏形式)病毒感染文件过程():重定位,获得所有API地址:……:“MZ”:“PE”:,如果已被感染过则跳出继续执行宿主程序,否则继续:,获得DataDirectory(数据目录)的个数,(每个数据目录信息占8个字节):。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置):(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节数28H)=,感染文件:二:在掌握Stud_PE工具的基础上,比较文件感染前后有哪些变化。感染前:感染后:由上两图可以看出,感染前后有4处发生了变化:1:PE文件头中入口点::PointerToRawData域值,即该文件的偏移量发生了变化;:imag的大小发生了变化;:sections的数量发生了变化。,PE病毒感染过程即在文件中添加一个新节,把病毒代码和病毒执行后返回宿主程序的代码写入新添加的节中,同时修改PE文件头中入口点(AddressOfEntryPoint),使其指向新添加的病毒代码入口。程序染毒后运行结果:1:首先执行病毒程序:2:病毒代码执行完后执行宿主程序:三:针对病毒源代码,“MZ”。leaeax,[ebx+offsetszMsg1]“PE”。.判断感染标记,如果已被感染过则跳出继续执行宿主程序,否则继续。.获得DataDirectory(数据目录)的个数,(每个数据目录信息占8个字节)。.得到节表起始位置。(数据目录的偏移地址+数据目录占用的字节数=节表起始位置).得到节表的末尾偏移(紧接其后用于写入一个新的病毒节信息)节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移。