第4章传统计算机病毒课件.ppt

32位文件型病毒实验（实验四） 本实验是根据4.3.2节的文件型病毒编制技术而设计的原型病毒。之所以设计成原型病毒，是因为考虑到信息安全课程的特殊性。学习病毒原理的目的是为了更好地防治病毒，而不是教各位读者编写能运行于实际环境的病毒。 【实验目的】 了解文件型病毒的基本制造原理。 了解病毒的感染、破坏机制，进一步认识病毒程序。 掌握文件型病毒的特征和内在机制。 【实验环境】 运行环境Windows 2000、Windows 9x、Windows NT和Windows XP。 【实验步骤】 文件位置：附书资源目录\Experiment\win32virus。 目录中的virus.rar包中包括Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序，用于测试病毒程序。 预备步骤：将example.rar解压缩到某个目录，比如D:\virus\example。解压完毕后，应该在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序，然后把virus.rar包解压后的Virus.exe复制到该目录中。 实验内容：通过运行病毒程序观看各步的提示以了解病毒的内在机制。详细的演示步骤参见教学PPT。 【实验注意事项】 本病毒程序用于实验目的，请妥善使用。 在测试病毒程序前，请先关闭杀毒软件的自动防护功能或直接关闭杀毒软件。 本程序是在开发时面向实验演示用的，侧重于演示和说明病毒的内在原理，破坏功能有限；而且前流行的病毒破坏方式比较严重，而且发作方式非常隐蔽，千万不要把其他病毒程序采用本例的方式来进行直接运行测试。 测试完毕后，请注意病毒程序的清除，以免误操作破坏计算机上的其他程序。 32位PE可执行文件型病毒详细步骤 ??? 病毒引导说明： ???????? 文件型病毒，没有引导部分演示 ??? 病毒传染说明： ? ???????? 传染范围：Virus.exe所在目录 ? ???????? 传染目标：可执行文件(.exe) ? ???????? 传染过程：有哪些信誉好的足球投注网站目录内的可执行文件，逐个感染 ? ??? 病毒触发说明： ? ??????? 触发条件：运行Virus.exe程序或被Virus.exe感染的程序 文件型病毒功能说明: ??? 病毒破坏说明：???????? ???????? 破坏能力：无害型 传染时减少磁盘的可用空间，在可执行文件上附加一个节(4K)???????? ???????? 破坏方式：攻击文件 在可执行文件上附加一个节(4K)，修改可执行文件的入口地址 ? ???????? 破坏范围：Virus.exe所在目录 ? ??? 病毒查杀说明： ???????? ???????? 病毒危害等级：低，属于无害型病毒 ???????? ???????? 病毒特征类型：Bloodhound.W32.1(Norton AntiVirus检测结果，这是Symantec软件来临时指代新病毒的文件） ?? ???????? 病毒查杀方法：删除所有被感染的文件? 步骤0(预备)： 当防病毒程序如 Norton AntiVirus(注：此处的测试应以当前测试机器上安装杀毒软件为准，本示例运行时机器上安装的只有Norton?? AntiVirus，故以此为参照)自动防护功能打开 时，鼠标光标位于病毒程序上时，会看到如下的图例： 图例0 ???? 图解说明：注解0-1表示Norton AntiVirus的自动防护功能打开着；注解0-2就是防病毒软件在用户鼠标置于图例0中注解0-3处的Virus.exe程序上时的报警提示。 ???? ???? 演示说明：作为自己开发的病毒程序，为了能够更好的演示病毒的特征，在开发过程中我们没有采用病毒的保护机制，故而防病毒软件根据病毒程序的特征即可给出该程序为病毒程序的报警提示。 实验步骤 (1) 安装虚拟机VMWare，安装步骤参考网上下载的实验配套资料“解压缩目录\Application\MSDOS71\虚拟机上安装MSDOS.doc”文档。 (2) 在虚拟机环境内安装MS-DOS 7.10环境。 (3) 在MS-DOS C:\MASM目录下安装MASM611，然后将binr目录下的link.exe复制到bin目录下。 (4) 从附书资源“experiment\com”下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm。 (5) 编译链接BeInfected.asm，形成B