实验五（选做一）计机病毒网络与信息安全实验报告.docVIP

实验 同组实验者 实验日期 成绩 1.了解2.了解PE文件结构；3.了解文件型病毒的发现方法；4.了解病毒专杀工具的基本原理 实验人数 每组2人 系统环境 Windows 网络环境 交换网络结构 实验工具 LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32 实验类型 验证型 一、实验原理详见“信息安全实验平台”，“实验”，“练习一”。 二、实验步骤 图1 入口点警告提示 OEP ImageBase hei0.ex_ hei.ex_ 点击“View”菜单中的“Section Headers”进入Section Headers页面，比对Section Header的数据信息并记录到下面表格。 Virtual Size Virtual Address Size of Raw Data Point to Raw Data hei0.ex_的.data hei.ex_的.data （），在jmp指令上面会发现如下的汇编代码。004047F3 6A 00 PUSH 0 004047F5 FF95 34FEFFFF CALL DWORD PTR SS:[EBP-1CC] 004047FB 8985 58FDFFFF MOV DWORD PTR SS:[EBP-2A8],EAX 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 8B11 MOV EDX,DWORD PTR DS:[ECX] 0395 58FDFFFF ADD EDX,DWORD PTR SS:[EBP-2A8] ; hei 0040480C 8995 D4FDFFFF MOV DWORD PTR SS:[EBP-22C],EDX 8B85 D4FDFFFF MOV EAX,DWORD PTR SS:[EBP-22C] FFE0 JMP EAX ;最后跳转到EAX执行源程序0040481A 8BE5 MOV ESP,EBP ;灰色区域的代码可以用做查找原入口点的标记 ;因为其操作与立即数无关，不会因宿主程序改动 ;而变化，其后的病毒数据存储原始入口点0040481C 0010 ADD BYTE PTR DS:[EAX],DL 0040481E 0000 ADD BYTE PTR DS:[EAX],AL 0000 ADD BYTE PTR DS:[EAX],AL 0000 ADD BYTE PTR DS:[EAX],AL 0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区，0x1000为hei0.exe OEP的RVA，0x1000在反汇编代码中的表示是0010。 （6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对实验目录下的1、2、3子目录下的文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。 目录 原文件的入口地址 感染病毒文件的入口地址 感染病毒文件的最后一个跳转目的地址 mspaint.exe notepad.exe write.exe （7）通过以上分析，可以初步断定，该病毒的感染方式是： ________________________________________________________________________________________________________________________________________________________________________________________________________________________________________。 练习二 Word宏病毒 实验目的 1.理解Word宏病毒的感染方式；2.理解Word宏病毒的工作原理；3.掌握Word宏病毒的杀毒方法 实验人数 每组2人 系统环境 Wi