实验2文件型病毒.doc

XI`AN TECHNOLOGICAL UNIVERSITY 实验报告 实验课程名称 文件型病毒 专 业： 信息对抗技术 班 级： 130609 姓 名： 李佩隆 学 号： 130609105 实验学时： 12学时 指导教师： 曹子建 成 绩： 2016 年 3 月 22 日 一．实验目的 1.了解文件型病毒的原理 2.了解PE文件结构 3.了解文件型病毒的发现方法 4.了解病毒专杀工具的基本原理 二．实验步骤 一．验证利用OllyDBG修改病毒感染程序 （1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。 （2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示 单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。测试两个程序是否还具有病毒的传染特性 二．病毒感染机制分析 （1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。 （2）进入实验平台，点击工具栏中的“PE”按钮，使用PE Explorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP--Address of Entry Point）和Image Base并分别记录 hei.exe hei0.exe OEP ImageBase hei0.exe00400000h hei.exe00400000h 点击“View”菜单中的“Section Headers”进入Section Headers页面，比对Section Header的数据信息并记录到下面表格。 hei.exe Virtual Size Virtual Address Size of Raw Data Point to Raw Data hei0.exe的.data hei.exe的.data 00001A00h 00001A00h 由于一般文件型病毒只有代码段，数据和代码都存在一起。所以可以断定hei.ex_的.data段多出的数据即为病毒代码和数据。 （3）进入实验平台，单击工具栏中“UE”按钮，打开Ultra Editor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开始的数据块为存储于.data节的病毒代码。 实验感想： 通过此次实验使我对文件型病毒的原理有了进一步的认识，了解pe文件的基本结构，虽然在此次实验中遇到了一些困难，但在老师和同学的帮助下得到了解决，我相信这对我以后学习这方面知识有很大的帮助。