实验三 32位文件型病毒

人工智能在病毒防范 中的应用
• 应用 • 使用人工智能技术，提高病毒检测和清除的效率 • 使用机器学习，自动识别和拦截新型病毒
构建安全的数字生态环境
• 构建 • 政府部门、企业和个人共同努力，构建安全的数字生态环境 • 加强法律法规建设，规范网络安全行为 • 提高网络安全技术水平，防范网络安全威胁
CREATE TOGETHER
DOCS
谢谢观看
THANK YOU FOR WATCHING
方法
使用杀毒软件进行检测与清除
检测
• 使用杀毒软件对电脑进行全面扫描，检测病毒 • 定期更新病毒库，确保能够检测到最新病毒
清除
• 使用杀毒软件对检测到的病毒进行清除 • 在安全模式下，手动删除病毒文件和病毒关联
手动清除文件夹病毒 的方法
• 方法 • 断开网络连接：在安全模式下，断开网络连接，防止病毒传播 • 查找病毒文件：使用杀毒软件或手动查找病毒文件 • 删除病毒文件：删除找到的病毒文件，清除病毒
危害
• 文件丢失：病毒损坏文件夹，导致文件丢失 • 系统崩溃：病毒影响系统正常运行，导致系统崩溃 • 隐私泄露：病毒窃取用户隐私信息，导致隐私泄露
常见文件夹病毒类型及案例分析
常见类型
• 文件夹炸弹：感染文件夹后，在一定条件下自动爆炸，损坏文件 • 恶意广告病毒：感染文件夹后，在文件夹中显示恶意广告 • 窃取隐私病毒：感染文件夹后，窃取用户隐私信息
文件夹病毒的发展趋势与威胁
发展趋势
• 病毒更具隐蔽性：病毒越来越难以察觉，感染方式更加 隐蔽 • 病毒传播途径多样化：病毒传播途径越来越多，防范难 度加大
威胁
• 个人隐私安全：病毒窃取用户隐私信息，导致隐私泄露 • 企业信息安全：病毒攻击企业网络，窃取企业机密信息

电脑病毒与防治实验报告电脑病毒是一种在计算机系统中传播并破坏数据或干扰正常运行的恶意软件。

在当今数字化社会，电脑病毒越来越成为人们日常生活中的一个隐患。

为了更好地了解电脑病毒的危害以及有效防治方法，我们进行了相关实验并撰写此报告。

### 实验目的通过实验，探讨电脑病毒对计算机系统的危害程度，以及采取何种方法可以有效防治电脑病毒的侵害。

### 实验材料1. 实验室计算机设备2. 各类电脑病毒样本3. 杀毒软件4. 防火墙软件### 实验步骤1. 收集各类型电脑病毒样本，包括文件病毒、网页病毒、邮件病毒等。

2. 将病毒样本分别输入实验室的计算机系统中，观察病毒对系统的影响。

3. 安装杀毒软件，并对感染病毒的计算机进行查杀和清除操作。

4. 启动防火墙软件，设置相关防护策略，阻止病毒入侵计算机系统。

5. 对比有无杀毒软件和防火墙软件的情况下，电脑系统的表现和安全性。

### 实验结果分析经过实验观察和对比分析，我们得出以下结论：1. 电脑病毒的危害程度较大，不仅会导致系统运行缓慢、文件丢失、数据泄露等问题，还可能对计算机系统进行破坏，使其无法正常使用。

2. 安装杀毒软件和启用防火墙软件是预防电脑病毒的有效措施。

杀毒软件可以及时查杀发现的病毒，防火墙软件可以阻止病毒入侵系统。

3. 电脑系统在有杀毒软件和防火墙软件保护下，运行更加稳定，数据更加安全，用户体验更好。

### 实验结论综上所述，电脑病毒对计算机系统的危害不可忽视，因此加强对电脑病毒的防治至关重要。

安装杀毒软件和防火墙软件是预防和治理电脑病毒的有效手段，建议广大用户定期更新杀毒软件和防火墙软件，并加强对网络安全的重视，保护个人和机构的信息安全。

通过本次实验，我们对电脑病毒及其防治方法有了更深入的了解，相信在未来的计算机使用中，将更加注重网络安全，提高电脑系统的安全防护意识。

愿我们的实验报告能为更多人提供有益的参考和启示。

实验三+PE⽂件型病毒分析实验三 PE⽂件型病毒分析⼀、实验⽬的1.了解PE⽂件型病毒的基本原理；2.了解病毒的感染、破坏机制，认识病毒程序；3.掌握⽂件型病毒的特征和内在机制。

【注意事项】1.本病毒程序⽤于实验⽬的，⾯向实验演⽰，侧重于演⽰和说明病毒的内在原理，破坏功能有限。

在测试病毒程序前，需先关闭杀毒软件的⾃动防护功能或直接关闭杀毒软件。

2.若在个⼈电脑上实验，最好在虚拟机中运⾏。

3.测试完毕后，请注意病毒程序的清除，以免误操作破坏计算机上的其他程序。

4.请勿传播该病毒。

传播该病毒造成有⽤数据丢失、电脑故障甚⾄触犯法律等后果，由传播者负责。

⼆、实验内容压缩包中包括编译的病毒程序“PE_Virus.exe”和⼀个⽤于测试病毒的正常⽂件“test.exe”，通过运⾏病毒程序观看各步提⽰以了解PE⽂件型病毒的内在机制。

【PE_Virus病毒说明】（1）传染范围：PE_Virus.exe所在⽬录；（2）传染⽬标：可执⾏⽂件(.exe)；（3）传染过程：搜索⽬录内的可执⾏⽂件，逐个感染；（4）触发条件：运⾏PE_Virus.exe程序或被PE_Virus.exe感染的程序；（5）破坏能⼒：⽆害型，传染时减少磁盘的可⽤空间，在可执⾏⽂件上附加⼀个4K⼤⼩的节；（6）破坏⽅式：攻击⽂件，在可执⾏⽂件上附加⼀个节(4K)，修改可执⾏⽂件的⼊⼝地址；（7）特征类型：Virus.Win32.Huhk.B（360提⽰）【PE⽂件型病毒主要技术原理】（1）病毒重定位（2）获取API函数（3）搜索可感染的⽂件（4）内存映射⽂件（5）病毒感染其他⽂件（6）返回到宿主程序任务1 观察PE_Virus病毒感染test.exe⽂件的过程【提⽰】（1）⽤360等杀毒软件检测PE_Virus.exe，杀毒软件检测到该⽂件有病毒。

（2）关闭防病毒软件的⾃动防护功能，运⾏PE_Virus.exe，会出现如下提⽰：本实验为了能够⽐较直观演⽰病毒程序，让⽤户知道病毒正在做什么，故⽽有若⼲提⽰界⾯，但实际的病毒在感染其他程序前不会让⽤户感觉到病毒程序正在运⾏，往往都是隐藏运⾏，或者是寄⽣在宿主程序中。

PE病毒实验报告姓名：佟蕊学号：201224010138 班级：12计本非师学院：信息学院一、PE病毒种类：pe文件是windows下的一个32位文件格式，在windows系统中广泛存在，该文件格式是病毒喜欢感染的类型。

win32.tenga该病毒式一个win32pe感染型病毒，可以感染普通pe exe文件并把自己的代码加到exe文件尾部。

win16.hllp.hiro.10240该病毒式利用pascal编写的病毒，不会驻内存中，包含“hiroshima end 000 v1.2000:0000”字符串。

该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中win16.hllp.hiro.10240该病毒式利用pascal编写的病毒，不会驻内存中，包含“hiroshima end 000 v1.2000:0000”字符串。

该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中2001 tokugawa此病毒查找类似下的文件，但它对反病毒程序文件不起作用。

win32.sankey该病毒是一个非常危险的win32病毒，它会在当前目录和被破坏的文件中搜索exe文件并感染它们，当感染了一个exe文件后，病毒会在文件中创建一个名为“kaze/fat”的片段。

二、PE病毒的删除以及运作原理：病毒在安全模式下删除：病毒是将可执行文件的代码中程序入口地址，改为病毒的程序入口，这样就会导致用户在运行的时候执行病毒文件：三、总结本次实验让我了解了PE病毒的种类以及运行原理。

更加重要的是知道了病毒带来的危害。

这样这以后的工作生活中就尽量避免下载到病毒，即使下载到病毒也会在安全模式下去删除它。

实验三32位ALU设计实验一、实验目的学生理解算术逻辑运算单元（ALU）的基本构成，掌握Logisim 中各种运算组件的使用方法，熟悉多路选择器的使用，能利用前述实验完成的32位加法器、Logisim 中的运算组件构造指定规格的ALU 单元。

二、实验原理、内容与步骤实验原理、实验内容参考：1、32位加法功能的原理与设计1)设计原理1，被加数A（32位），2，被加数B（32位），3，前一位的进位CIN（1位），4，此位二数相加的和S（32位），5，此位二数相加产生的进位COUT（1位）。

要实现32位的二进制加法，一种自然的想法就是将1位的二进制加法重复32次（即逐位进位加法器）。

这样做无疑是可行且易行的，但由于每一位的CIN都是由前一位的COUT提供的，所以第2位必须在第1位计算出结果后，才能开始计算；第3位必须在第2位计算出结果后，才能开始计算，等等。

而最后的第32位必须在前31位全部计算出结果后，才能开始计算。

这样的方法，使得实现32位的二进制加法所需的时间是实现1位的二进制加法的时间的32倍。

2)电路设计32位加法功能2、32位减法功能的原理与实现1)变减法为加法的原理1.在Y引脚处使用求补器（32位），即可变减法为加法2.用构造好的32位加法器。

Y各位取反，C0取1，即可达到减法变加法。

无符号数的减法溢出，带加减功能的ALU的进位取反后表示，有符号数的减法溢出，仍然用最高位和符号位是否相等来判断2)电路设计32位减法功能3、加减溢出检测的设计（不考虑乘除法）1）有符号数溢出的设计有符号数溢出的设计2）无符号数溢出的设计无符号数溢出的设计4、移位的原理与设计1）逻辑移位逻辑移位2）算术移位算术移位5、逻辑运算功能的原理与设计2）与、或、异或、或非逻辑6、大于、等于、小于功能设计大于、等于、小于功能设计7、AluOP的控制原理与设计1）原理：AluOP的控制原理与设计8、总电路设计图算术逻辑运算单元ALU三、实验结论及分析（实验完成功能情况、存在问题分析或改进思路、自己的心得体会等。

文件型病毒的原理、实例和检测
常见的病毒分类
• 文件型病毒 • 引导型病毒 • 宏病毒 • 网络病毒
– 网页病毒（恶意代码） – 脚本病毒 – 蠕虫病毒 – 邮件病毒 – 木马病毒
文件型病毒
• 文件型病毒定义
– 文件型病毒是主要感染可执行文件的病毒，它 通常隐藏在宿主程序中，执行宿主程序时，将 会先执行病毒程序再执行宿主程序
• main proc near • mov ax,4c00h
本com文件的实际有效指令
• int 21h
• code ends
• end main
• 下面，我们来分析病毒文件的工作过程：
打开目标文件（） 读入目标文件（） 移动文件指针到文件()尾部 根据的尾部地址，构造JMP指令（文件尾部 是病毒代码的开始处，也就是jmp要跳转到的地址） 将病毒体()附加在感染文件()后面 移动文件指针到文件()开头 将构造好的 JMP 指令写入文件的起始处
• 文件型病毒传播方式
– 当宿主程序运行时，病毒程序首先运行，然后 驻留在内存中，再伺机感染其它的可执行程序， 达到传播的目的
文件型病毒
• 文件型病毒的感染对象
– 扩展名是COM或者EXE的文件是文件型病毒感染 的主要对象
文件型病毒破坏过程
系统启动 运行.com或.exe文件
引导模块
病毒随文件转到内存
– 检测准确快速 – 可识别病毒的名称 – 误报警率低 – 依据检测结果可做解毒处理 – 是检测已知病毒的最简单、开销最小的方法
特征代码法
• 特征代码法的缺点：
– 不能检测未知病毒。 – 不能检查多态性病毒。 – 不能对付隐蔽性病毒。 – 随着病毒种类的增多，逐一检查和搜集已知病

计算机病毒实验报告计算机病毒实验报告引言：计算机病毒是一种恶意软件，可以对计算机系统造成破坏和损失。

为了更好地了解计算机病毒的特点和对计算机系统的影响，我们进行了一系列的实验。

本报告将详细介绍我们的实验过程、结果和结论。

实验一：病毒传播方式我们首先研究了计算机病毒的传播方式。

通过在一个封闭的网络环境中模拟实验，我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。

这些传播方式都依赖于用户的不慎操作或者系统的漏洞。

实验二：病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。

在一个实验环境中，我们分别在未感染和感染病毒的计算机上进行了性能测试。

结果显示，感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。

这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。

实验三：病毒防护措施为了更好地保护计算机系统免受病毒攻击，我们进行了一系列的病毒防护措施实验。

我们测试了不同的杀毒软件和防火墙，并对其进行了性能和效果的评估。

结果显示，合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播，保护计算机系统的安全。

实验四：病毒对个人隐私的威胁除了对系统性能的影响，计算机病毒还可能对个人隐私造成威胁。

我们进行了一项实验，模拟了一个病毒窃取个人信息的场景。

通过在一台计算机中安装了一个窃取密码的病毒，我们发现该病毒能够成功获取用户的登录信息和敏感数据。

这个实验结果提醒我们，保护个人隐私是非常重要的，我们应该谨慎对待未知来源的文件和链接。

结论：通过一系列的实验，我们对计算机病毒有了更深入的了解。

计算机病毒的传播方式多种多样，主要依赖于用户的不慎操作和系统的漏洞。

感染病毒会导致计算机系统性能下降，并可能对个人隐私造成威胁。

为了保护计算机系统的安全，我们应该采取合适的病毒防护措施，如安装杀毒软件和防火墙，并且要时刻保持警惕，不轻易打开未知来源的文件和链接。

总结：计算机病毒是现代计算机系统中的一大威胁，对系统性能和个人隐私都有着巨大的影响。

网络安全计算机病毒有窃取数据的功能。

AA正确B错误我国从20世纪60年代开始研究电磁泄漏发射技术。

BA正确B错误辐射泄漏是指计算机在工作时，其处理的信息能沿着其电源线和通信线路进行传播发射。

B A正确B错误保证涉密信息系统的机房设备和终端应该存放在安全可靠的地方。

AA正确B错误涉密信息系统（政务内网）不需要与政务外网和因特网实行物理隔离。

BA正确B错误客户端微机可以同时与政务内、外网相通。

BA正确B错误政务内网的布线要采用光纤或普通电缆。

BA正确单位与单位政务内网之间的信息传输，应利用宽带保密通道。

AA正确B错误使用面向连接的电路交换方式时，应采用认证和链路加密措施。

采用的加密设备可由各单位自行设置。

BA正确B错误涉密信息系统中涉密设备的安装使用，应满足国家保密标准BMB3的要求。

BA正确B错误电磁屏蔽室属于电磁泄露的防护技术。

AA正确B错误携带涉密的个人计算机外出，须经单位领导批准，并采取必要的保护措施。

AA正确B错误防火墙的基本功能有数据包过滤和网络地址转换。

AA正确B错误防火墙越多越好，安装两个以上的软件防火墙更有利于网络的安全。

BA正确数据完整性鉴别技术一般包括口令、密钥、身份、数据等项的鉴别。

AA正确B错误数据传输加密技术目的是对传输中的数据流加密，常用的方针有线路加密和端―端加密两种。

A正确B错误密文存储是对用户资格、格限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

BA正确B错误密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。

AA正确B错误入侵检测系统的类型有基于网络的入侵检测、基于主机的入侵检测、混合入侵检测、文件完整性检查。

AA正确B错误基于网络的入侵检测产品(NIDS)放置在比较重要的网段内，不定时地监视网段中的各种数据包。

BA正确B错误基于网络的入侵检测产品(NIDS)如发现数据包和其产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。

AA正确B错误基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机和总控制系统之上。

利用rundll32重启机器的实验 : 点击“开始－程式－Ms－Dos方式”，进入Dos视窗，然后键入rundll32.exe user.exe,restartwindows，再按下回车键，这时你将看到，机器被重启了！
RUNDLL.EXE
这里要注意三点：1.Dll档案名中不能含有空格，比如该档案位於c:\ProgramFiles\目录，你要把这个路径改成c:\Progra～1\；2.Dll档案名与Dll入口点间的逗号不能少，否则程式将出错并且不会给出任何资讯！3.这是最重要的一点：Rundll不能用来呼叫含返回值参数的Dll，例如Win32API中的GetUserName(),GetTextFace()等。在Visual Basic中，提供了一条执行外部程式的指令Shell,格式为：
Rundll32.exe使用的函数原型：
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
Shell “命令列”
如果能配合Rundll32.exe用好Shell指令，会使您的VB程式拥有用其他方法难以甚至无法实现的效果：仍以重启为例，传统的方法需要你在VB工程中先建立一个模组，然后写入WinAPI的声明，最后才能在程式中呼叫。而现在只需一句:
);
其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

什么是计算机病毒？是怎么产⽣的？什么是病毒？是怎么产⽣的？什么是病毒？病毒的介绍1、计算机病毒与其他合法程序⼀样，是⼀段可执⾏程序，但它不是⼀个完完整的程序，⽽是寄⽣在其他可执⾏程序上，当执⾏这个程序时，病毒就其破坏作⽤2、他们能把⾃⾝附着在各种类型的⽂件上，当⽂件被复制或从⼀个⽤户传送到另⼀个⽤户时，它们就随同⽂件⼀起蔓延开来3、传染性是病毒的基本特征，⼀旦⽹络中⼀台计算机中了病毒，则这台计算机中的病毒就会通过各种渠道从已被感染的计算机扩散到没有感染的计算机上，以实现⾃我繁殖4、⼀个标志精巧的计算机病毒程序，进⼊系统之后⼀般不会马上发作、⽽是潜伏在合法⽂件中。

它们⼀般可以潜伏很长时间不被⼈发现。

病毒的潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越⼤5、是指病毒因某个时间或数值的出现，诱使病毒实施感染或进⾏攻击的特性6、计算机中毒后，可能会导致正常的程序⽆法运⾏，把计算机内的⽂件删除或使计算机⽂件受到不同程度的损坏7、计算机病毒具有很强的隐藏性，有的可以通过杀毒软件检查出来，有的根本就查不出来，后⾯这⼀类病毒处理起来通常很困难病毒的分类附带型病毒通常附带于⼀个EXE⽂件上，其名称与EXE⽂件名相同，但扩展是不同的，⼀般不会破坏更改⽂件本⾝，但在DOS读取时⾸先激活的就是这类病毒蠕⾍病毒它不会损害计算机⽂件和数据，它的破坏性主要取决于计算机⽹络的部署，可以使⽤计算机⽹络从⼀个计算机存储切换到另⼀个计算机存储来计算⽹络地址来感染病毒可变病毒可以⾃⾏应⽤复杂的算法，很难发现，因为在另⼀个地⽅表现的内容和长度是不同的有哪⼏种类病毒系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

这些病毒的⼀般公有的特性是可以感染windows操作系统的 .exe 和.dll ⽂件，并通过这些⽂件进⾏传播。

如CIH病毒蠕⾍病毒蠕⾍是⼀种可以⾃我复制的代码，并且通过⽹络传播，通常⽆需⼈为⼲预就能传播。

Any question？
12
9.4.2. 结束以下进程： Mcshield.exe;VsTskMgr.exe;naPrdMgr.exe;UpdaterUI.exe;TBMon.exe;scan32.exe;R avmond.exe;CCenter.exe;RavTask.exe;Rav.exe;Ravmon.exe;RavmonD.exe;RavStub. exe;KVXP.kxp;KvMonXP.kxp;KVCenter.kxp;KVSrvXP.exe;KRegEx.exe;UIHost.exe;Troj Die.kxp;FrogAgent.exe;Logo1_.exe;Logo_1.exe;Rundl132.exe;regedit.exe;msconfig. exe;taskmgr.exe 9.4.3. 关闭并删除以下服务： Schedule;sharedaccess;RsCCenter;RsRavMon;RsCCenter;KVWSC;KVSrvXP;kavsvc;A VP;McAfeeFramework;McShield;McTaskManager;navapsvc;wscsvc;KPfwSvc;SNDSr vc;ccProxy;ccEvtMgr;ccSetMgr;SPBBCSvc;Symantec Core LC;NPFMntor;MskService;FireSvc 注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有 利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传 播的范围。
病毒类型 蠕虫病毒 6. 病毒大小 AxCmd.exe 317KB GameSetup.exe 39KB 7. 传播方式 本地磁盘感染，局域网传播 8. 病毒特征 这是一个感染型的蠕虫病毒，它能感染系统中exe，com， pif，src，html，asp等文件，它还能中止大量的反病毒软件进 程并且会删除扩展名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。其中能感 染文件的版本使被感染的用户系统中所有.exe可执行文件全部 被改成熊猫举着三根香的模样。 9. 病毒行为 该病毒的主要行为(针对GameSetup.exe) 5.

第三章计算机病毒结构分析本章学习目标•掌握计算机病毒的结构•掌握计算机病毒的工作机制•了解引导型病毒原理•了解COM、EXE、NE、PE可执行文件格式•掌握COM文件病毒原理及实验•掌握PE文件型病毒及实验总体概念•DOS是VXer的乐园(Aver) •9x病毒ring3, ring0•2K病毒主要是ring3•Windows文件格式变迁：•COM•EXE:MZ->NE->PE•Vxd: LE(16Bit, 32Bit)一、计算机病毒的结构和工作机制•四大模块：•感染模块•触发模块•破坏模块（表现模块）•引导模块（主控模块）•两个状态：•静态•动态工作机制引导模块•引导前——寄生•寄生位置：•引导区•可执行文件•寄生手段：•替代法（寄生在引导区中的病毒常用该法）•链接法（寄生在文件中的病毒常用该法）１PE文件结构及其运行原理（1）PE文件格式总体结构•PE（Portable Executable：可移植的执行体）•是Win32环境自身所带的可执行文件格式。

•它的一些特性继承自Unix的Coff(Common Object )文件格式。

•可移植的执行体意味着此文件格式是跨win32平台的，即使Windows运行在非Intel的CPU上，任何win32平台的PE装载器都能识别和使用该文件格式。

•当然，移植到不同的CPU上PE执行体必然得有一些改变。

•除VxD和16位的Dll外，所有win32执行文件都使用PE文件格式。

因此，研究PE文件格式是我们洞悉Windows结构的良机。

PE文件结构总体层次分布DOSMZheader ‘MZ’格式￿DOSstub Dos￿程序PEheader PE文件￿Section￿表•所有PE文件必须以一个简单的DOS MZ header开始。

有了它，一旦程序在DOS下执行，DOS就能识别出这是有效的执行体。

•DOS stub实际上是个有效的EXE，在不支持PE文件格式的操作系统中，它将简单显示一个错误提示，类似于字符串 “该程序不能在DOS模式下运行”或者程序员可根据自己的意图实现完整的DOS代码。

2.解压完毕后，应该在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序。
3.然后把virus.rar包解压后的Virus.exe复制到该目录中。目录中的virus.rar包中包括Virus.exe(编译的病毒程序)、软件使用说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码)。Example.rar包中选取的是一个常用程序(ebookedit)安装后的安装目录下的程序，用于测试病毒程序。
4.运行病毒程序，并依据n32平台上的病毒生成和执行过程进行分析，针对每个重要步骤给出相应的代码，并在综合各项分析的基础上给出病毒实例;对文件型病毒三大特征，即隐藏、感染和破坏进行了分析综合，最后对计算机病毒的发展趋势做了预测。
2.可以看到，病毒感染过程中，先是找寻找符合感染条件的PE文件（感染过的和不合法文件无法感染），然后对其进行感染，感染完毕后先使病毒sleep一下（即隐藏）以免被用户发现。感染成功。
实验报告
题目：32位文件型病毒实验
姓名：王宇航
学号：09283020
实验环境：
操作系统：windows系统XP（√）2003（）其他：
软件：
硬件环境：CPU主频（3.00 GHz）内存：（0.99GB）
实验内容：
1、通过运行病毒程序观看各步的提示以了解病毒的内在机制。
实验过程：
1.将example.rar解压缩到某个目录，比如D:\virus\example。

练习一 敏感信息搜集..........................................................................................................1 实验 3 密码心理学攻击...............................................................................................................3
练习一 密码心理学攻击......................................................................................................3 实验 5 古典密码算法...................................................................................................................4
练习二 web 服务器安全设置.............................................................................................25 任务一 IIS 安全设置.................................................................................................25 任务二 Apache 安全设置...........................................................................................25

计算机病毒实验报告1. 实验目的通过本次实验，我们的目的是了解计算机病毒的基本概念、特征及分类，掌握常用的杀毒软件的使用方法，并了解病毒对计算机的影响，从而增强对计算机安全的认识。

2. 实验环境本次实验我们使用的计算机环境为Windows 10操作系统，实验所用的杀毒软件为360安全卫士。

3. 实验过程3.1 计算机病毒的概念计算机病毒是指那些在计算机系统中侵入并产生破坏、破坏、传播等行为的程序和代码。

计算机病毒可分为多种类型，包括文件病毒、网络病毒、驱动器病毒等。

3.2 计算机病毒的特征计算机病毒有以下几种特征：•潜伏性：病毒在计算机系统中往往不会马上制造破坏，而是先潜伏一段时间，等待某些条件的满足后再进行攻击；•传染性：计算机病毒通过文件、网络等方式进行传播，有蔓延性；•破坏性：计算机病毒会对系统、软件或数据等进行破坏；•隐匿性：很多病毒会将自己隐藏在计算机系统的某些位置，难以被发现；•多样性：计算机病毒可以通过不断变化自身的形态等方式来规避杀软的检测。

3.3 计算机病毒的分类根据病毒的传播方式和感染对象，计算机病毒可以分为多种类型，包括文件病毒、网络病毒、木马病毒、蠕虫病毒等。

3.4 常用的杀毒软件在本次实验中，我们使用了360安全卫士这一国内常用的杀毒软件。

该软件不仅可以实现基本的病毒查杀功能，还可以对各种病毒进行拦截和清除。

3.5 实验结果通过本次实验，我们成功地了解了计算机病毒的基本概念、特征及分类，掌握了常用的杀毒软件的使用方法，并对病毒对计算机的影响有了一定的认识。

4. 实验结论计算机病毒是一种具有传染性、破坏性、隐匿性等特征的程序，对计算机系统和数据安全构成威胁。

通过学习本次实验，我们可以提高对计算机安全的认识，掌握常用的杀毒软件的使用方法，并加强对计算机安全的保护。

FAT32文件系统简介Windows95 OSR2和Windows 98开始支持FAT32 文件系统，它是对早期DOS的FAT16文件系统的增强，由于文件系统的核心--文件分配表FAT由16位扩充为32位，所以称为FAT32文件系统。

在一逻辑盘（硬盘的一分区）超过 512 兆字节时使用这种格式，会更高效地存储数据，减少硬盘空间的浪费，一般还会使程序运行加快，使用的计算机系统资源更少，因此是使用大容量硬盘存储文件的极有效的系统。

本人对Windows 98下的FAT32 文件系统做了分析实验，总体上与FAT16文件系统变化不大，现将有关变化部分简介如下：（一）FAT32 文件系统将逻辑盘的空间划分为三部分，依次是引导区（BOOT区）、文件分配表区（FAT区）、数据区（DATA区）。

引导区和文件分配表区又合称为系统区。

（二）引导区从第一扇区开始，使用了三个扇区，保存了该逻辑盘每扇区字节数，每簇对应的扇区数等等重要参数和引导记录。

之后还留有若干保留扇区。

而FAT16文件系统的引导区只占用一个扇区，没有保留扇区。

（三）文件分配表区共保存了两个相同的文件分配表，因为文件所占用的存储空间（簇链）及空闲空间的管理都是通过FAT实现的，FAT 如此重要，保存两个以便第一个损坏时，还有第二个可用。

文件系统对数据区的存储空间是按簇进行划分和管理的，簇是空间分配和回收的基本单位，即，一个文件总是占用若干个整簇，文件所使用的最后一簇剩余的空间就不再使用，而是浪费掉了。

从统计学上讲，平均每个文件浪费0.5簇的空间，簇越大，存储文件时空间浪费越多，利用率越低。

因此，簇的大小决定了该盘数据区的利用率。

FAT16系统簇号用16位二进制数表示，从0002H到FFEFH个可用簇号(FFF0H到FFFFH另有定义,用来表示坏簇，文件结束簇等)，允许每一逻辑盘的数据区最多不超过FFEDH(65518)个簇。

FAT32系统簇号改用32位二进制数表示，大致从00000002H到FFFFFEFFH个可用簇号。

计算机病毒实验报告‎计算机病毒实验报告‎‎篇一：2‎01X15张三-计算‎机病毒实验报告计算‎机与信息学院《计算‎机病毒与反病毒》实验‎报告学生姓名：‎学号：‎专业班级：‎计算机科学与技术‎09-2班 201X‎年 5 月15 日‎说明1．‎本实验报告是《计算机‎病毒与反病毒》课程成‎绩评定的重要依据，须‎认真完成。

2‎．实验报告严禁出现雷‎同，每位同学须独立完‎成。

若发现抄袭，抄袭‎者和被抄袭者本课程的‎成绩均以零分计。

‎ 3．实验报告要排‎版，格式应规范，截图‎一律采用JPG格式（‎非BMP 格式）。

为避‎免抄袭，用图像编辑软‎件在截图右下角“嵌入‎”自己的学号或姓名。

‎实验报告的格式是否规‎范、截图是否嵌入了自‎己的学号或姓名，是评‎价报告质量的考量因素‎。

4．实验报‎告须说明文字与实验截‎图相配合，若只有说明‎文字，或只有截图，则‎成绩为不及格。

‎5．只提交实验报告‎电子版。

在5月31日‎前，通过电子邮件发送‎到hfutZRB@1‎63.，若三天‎之内没有收到内容为“‎已收到”的回复确认E‎m ail，请再次发送‎或电话联系任课老师。

‎6．为了便于归档，‎实验报告rd文档的命‎名方式是“学号姓名-‎计算机病毒实验报告.‎d c”，如“201X‎15张三-计算机病毒‎实验报告.dc”。

‎注意：提交实‎验报告截止日期时间是‎实验一程序的自动‎启动一、实验‎目的（1）验‎证利用注册表特殊键值‎自动启动程序的方法；‎（2）检查和‎熟悉杀毒软件各组成部‎分的自动启动方法。

‎二、实验内容与‎要求（1）在‎注册表自动加载程序主‎键中，添加加载目标程‎序键值（自己指派任意‎程序），重启操作系统‎，检查是否能自动成功‎加载目标程序。

罗列5‎或5个以上能自动启动‎目标程序的键值，并用‎其中某一个启动自己指‎派的程序。

（‎2）检查/分析你所使‎用的计算机中杀毒软件‎系统托盘程序、底层驱‎动程序等组成部分的自‎动启动方式。