实验三 32位文件型病毒
- 格式:docx
- 大小:6.99 MB
- 文档页数:21
下载文档原格式
合集下载
文件夹病毒
人工智能在病毒防范 中的应用
• 应用 • 使用人工智能技术,提高病毒检测和清除的效率 • 使用机器学习,自动识别和拦截新型病毒
构建安全的数字生态环境
• 构建 • 政府部门、企业和个人共同努力,构建安全的数字生态环境 • 加强法律法规建设,规范网络安全行为 • 提高网络安全技术水平,防范网络安全威胁
CREATE TOGETHER
DOCS
谢谢观看
THANK YOU FOR WATCHING
方法
使用杀毒软件进行检测与清除
检测
• 使用杀毒软件对电脑进行全面扫描,检测病毒 • 定期更新病毒库,确保能够检测到最新病毒
清除
• 使用杀毒软件对检测到的病毒进行清除 • 在安全模式下,手动删除病毒文件和病毒关联
手动清除文件夹病毒 的方法
• 方法 • 断开网络连接:在安全模式下,断开网络连接,防止病毒传播 • 查找病毒文件:使用杀毒软件或手动查找病毒文件 • 删除病毒文件:删除找到的病毒文件,清除病毒
危害
• 文件丢失:病毒损坏文件夹,导致文件丢失 • 系统崩溃:病毒影响系统正常运行,导致系统崩溃 • 隐私泄露:病毒窃取用户隐私信息,导致隐私泄露
常见文件夹病毒类型及案例分析
常见类型
• 文件夹炸弹:感染文件夹后,在一定条件下自动爆炸,损坏文件 • 恶意广告病毒:感染文件夹后,在文件夹中显示恶意广告 • 窃取隐私病毒:感染文件夹后,窃取用户隐私信息
文件夹病毒的发展趋势与威胁
发展趋势
• 病毒更具隐蔽性:病毒越来越难以察觉,感染方式更加 隐蔽 • 病毒传播途径多样化:病毒传播途径越来越多,防范难 度加大
威胁
• 个人隐私安全:病毒窃取用户隐私信息,导致隐私泄露 • 企业信息安全:病毒攻击企业网络,窃取企业机密信息
电脑病毒与防治实验报告
电脑病毒与防治实验报告电脑病毒是一种在计算机系统中传播并破坏数据或干扰正常运行的恶意软件。
在当今数字化社会,电脑病毒越来越成为人们日常生活中的一个隐患。
为了更好地了解电脑病毒的危害以及有效防治方法,我们进行了相关实验并撰写此报告。
### 实验目的通过实验,探讨电脑病毒对计算机系统的危害程度,以及采取何种方法可以有效防治电脑病毒的侵害。
### 实验材料1. 实验室计算机设备2. 各类电脑病毒样本3. 杀毒软件4. 防火墙软件### 实验步骤1. 收集各类型电脑病毒样本,包括文件病毒、网页病毒、邮件病毒等。
2. 将病毒样本分别输入实验室的计算机系统中,观察病毒对系统的影响。
3. 安装杀毒软件,并对感染病毒的计算机进行查杀和清除操作。
4. 启动防火墙软件,设置相关防护策略,阻止病毒入侵计算机系统。
5. 对比有无杀毒软件和防火墙软件的情况下,电脑系统的表现和安全性。
### 实验结果分析经过实验观察和对比分析,我们得出以下结论:1. 电脑病毒的危害程度较大,不仅会导致系统运行缓慢、文件丢失、数据泄露等问题,还可能对计算机系统进行破坏,使其无法正常使用。
2. 安装杀毒软件和启用防火墙软件是预防电脑病毒的有效措施。
杀毒软件可以及时查杀发现的病毒,防火墙软件可以阻止病毒入侵系统。
3. 电脑系统在有杀毒软件和防火墙软件保护下,运行更加稳定,数据更加安全,用户体验更好。
### 实验结论综上所述,电脑病毒对计算机系统的危害不可忽视,因此加强对电脑病毒的防治至关重要。
安装杀毒软件和防火墙软件是预防和治理电脑病毒的有效手段,建议广大用户定期更新杀毒软件和防火墙软件,并加强对网络安全的重视,保护个人和机构的信息安全。
通过本次实验,我们对电脑病毒及其防治方法有了更深入的了解,相信在未来的计算机使用中,将更加注重网络安全,提高电脑系统的安全防护意识。
愿我们的实验报告能为更多人提供有益的参考和启示。
实验三+PE文件型病毒分析
实验三+PE⽂件型病毒分析实验三 PE⽂件型病毒分析⼀、实验⽬的1.了解PE⽂件型病毒的基本原理;2.了解病毒的感染、破坏机制,认识病毒程序;3.掌握⽂件型病毒的特征和内在机制。
【注意事项】1.本病毒程序⽤于实验⽬的,⾯向实验演⽰,侧重于演⽰和说明病毒的内在原理,破坏功能有限。
在测试病毒程序前,需先关闭杀毒软件的⾃动防护功能或直接关闭杀毒软件。
2.若在个⼈电脑上实验,最好在虚拟机中运⾏。
3.测试完毕后,请注意病毒程序的清除,以免误操作破坏计算机上的其他程序。
4.请勿传播该病毒。
传播该病毒造成有⽤数据丢失、电脑故障甚⾄触犯法律等后果,由传播者负责。
⼆、实验内容压缩包中包括编译的病毒程序“PE_Virus.exe”和⼀个⽤于测试病毒的正常⽂件“test.exe”,通过运⾏病毒程序观看各步提⽰以了解PE⽂件型病毒的内在机制。
【PE_Virus病毒说明】(1)传染范围:PE_Virus.exe所在⽬录;(2)传染⽬标:可执⾏⽂件(.exe);(3)传染过程:搜索⽬录内的可执⾏⽂件,逐个感染;(4)触发条件:运⾏PE_Virus.exe程序或被PE_Virus.exe感染的程序;(5)破坏能⼒:⽆害型,传染时减少磁盘的可⽤空间,在可执⾏⽂件上附加⼀个4K⼤⼩的节;(6)破坏⽅式:攻击⽂件,在可执⾏⽂件上附加⼀个节(4K),修改可执⾏⽂件的⼊⼝地址;(7)特征类型:Virus.Win32.Huhk.B(360提⽰)【PE⽂件型病毒主要技术原理】(1)病毒重定位(2)获取API函数(3)搜索可感染的⽂件(4)内存映射⽂件(5)病毒感染其他⽂件(6)返回到宿主程序任务1 观察PE_Virus病毒感染test.exe⽂件的过程【提⽰】(1)⽤360等杀毒软件检测PE_Virus.exe,杀毒软件检测到该⽂件有病毒。
(2)关闭防病毒软件的⾃动防护功能,运⾏PE_Virus.exe,会出现如下提⽰:本实验为了能够⽐较直观演⽰病毒程序,让⽤户知道病毒正在做什么,故⽽有若⼲提⽰界⾯,但实际的病毒在感染其他程序前不会让⽤户感觉到病毒程序正在运⾏,往往都是隐藏运⾏,或者是寄⽣在宿主程序中。
PE病毒实验报告
PE病毒实验报告姓名:佟蕊学号:201224010138 班级:12计本非师学院:信息学院一、PE病毒种类:pe文件是windows下的一个32位文件格式,在windows系统中广泛存在,该文件格式是病毒喜欢感染的类型。
win32.tenga该病毒式一个win32pe感染型病毒,可以感染普通pe exe文件并把自己的代码加到exe文件尾部。
win16.hllp.hiro.10240该病毒式利用pascal编写的病毒,不会驻内存中,包含“hiroshima end 000 v1.2000:0000”字符串。
该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中win16.hllp.hiro.10240该病毒式利用pascal编写的病毒,不会驻内存中,包含“hiroshima end 000 v1.2000:0000”字符串。
该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中2001 tokugawa此病毒查找类似下的文件,但它对反病毒程序文件不起作用。
win32.sankey该病毒是一个非常危险的win32病毒,它会在当前目录和被破坏的文件中搜索exe文件并感染它们,当感染了一个exe文件后,病毒会在文件中创建一个名为“kaze/fat”的片段。
二、PE病毒的删除以及运作原理:病毒在安全模式下删除:病毒是将可执行文件的代码中程序入口地址,改为病毒的程序入口,这样就会导致用户在运行的时候执行病毒文件:三、总结本次实验让我了解了PE病毒的种类以及运行原理。
更加重要的是知道了病毒带来的危害。
这样这以后的工作生活中就尽量避免下载到病毒,即使下载到病毒也会在安全模式下去删除它。
计算机组成原理实验报告_32位ALU设计实验
实验三32位ALU设计实验一、实验目的学生理解算术逻辑运算单元(ALU)的基本构成,掌握Logisim 中各种运算组件的使用方法,熟悉多路选择器的使用,能利用前述实验完成的32位加法器、Logisim 中的运算组件构造指定规格的ALU 单元。
二、实验原理、内容与步骤实验原理、实验内容参考:1、32位加法功能的原理与设计1)设计原理1,被加数A(32位),2,被加数B(32位),3,前一位的进位CIN(1位),4,此位二数相加的和S(32位),5,此位二数相加产生的进位COUT(1位)。
要实现32位的二进制加法,一种自然的想法就是将1位的二进制加法重复32次(即逐位进位加法器)。
这样做无疑是可行且易行的,但由于每一位的CIN都是由前一位的COUT提供的,所以第2位必须在第1位计算出结果后,才能开始计算;第3位必须在第2位计算出结果后,才能开始计算,等等。
而最后的第32位必须在前31位全部计算出结果后,才能开始计算。
这样的方法,使得实现32位的二进制加法所需的时间是实现1位的二进制加法的时间的32倍。
2)电路设计32位加法功能2、32位减法功能的原理与实现1)变减法为加法的原理1.在Y引脚处使用求补器(32位),即可变减法为加法2.用构造好的32位加法器。
Y各位取反,C0取1,即可达到减法变加法。
无符号数的减法溢出,带加减功能的ALU的进位取反后表示,有符号数的减法溢出,仍然用最高位和符号位是否相等来判断2)电路设计32位减法功能3、加减溢出检测的设计(不考虑乘除法)1)有符号数溢出的设计有符号数溢出的设计2)无符号数溢出的设计无符号数溢出的设计4、移位的原理与设计1)逻辑移位逻辑移位2)算术移位算术移位5、逻辑运算功能的原理与设计2)与、或、异或、或非逻辑6、大于、等于、小于功能设计大于、等于、小于功能设计7、AluOP的控制原理与设计1)原理:AluOP的控制原理与设计8、总电路设计图算术逻辑运算单元ALU三、实验结论及分析(实验完成功能情况、存在问题分析或改进思路、自己的心得体会等。
文件型病毒的原理实例和检测
文件型病毒的原理、实例和检测
常见的病毒分类
• 文件型病毒 • 引导型病毒 • 宏病毒 • 网络病毒
– 网页病毒(恶意代码) – 脚本病毒 – 蠕虫病毒 – 邮件病毒 – 木马病毒
文件型病毒
• 文件型病毒定义
– 文件型病毒是主要感染可执行文件的病毒,它 通常隐藏在宿主程序中,执行宿主程序时,将 会先执行病毒程序再执行宿主程序
• main proc near • mov ax,4c00h
本com文件的实际有效指令
• int 21h
• code ends
• end main
• 下面,我们来分析病毒文件的工作过程:
打开目标文件() 读入目标文件() 移动文件指针到文件()尾部 根据的尾部地址,构造JMP指令(文件尾部 是病毒代码的开始处,也就是jmp要跳转到的地址) 将病毒体()附加在感染文件()后面 移动文件指针到文件()开头 将构造好的 JMP 指令写入文件的起始处
• 文件型病毒传播方式
– 当宿主程序运行时,病毒程序首先运行,然后 驻留在内存中,再伺机感染其它的可执行程序, 达到传播的目的
文件型病毒
• 文件型病毒的感染对象
– 扩展名是COM或者EXE的文件是文件型病毒感染 的主要对象
文件型病毒破坏过程
系统启动 运行.com或.exe文件
引导模块
病毒随文件转到内存
– 检测准确快速 – 可识别病毒的名称 – 误报警率低 – 依据检测结果可做解毒处理 – 是检测已知病毒的最简单、开销最小的方法
特征代码法
• 特征代码法的缺点:
– 不能检测未知病毒。 – 不能检查多态性病毒。 – 不能对付隐蔽性病毒。 – 随着病毒种类的增多,逐一检查和搜集已知病
常见的病毒分类
• 文件型病毒 • 引导型病毒 • 宏病毒 • 网络病毒
– 网页病毒(恶意代码) – 脚本病毒 – 蠕虫病毒 – 邮件病毒 – 木马病毒
文件型病毒
• 文件型病毒定义
– 文件型病毒是主要感染可执行文件的病毒,它 通常隐藏在宿主程序中,执行宿主程序时,将 会先执行病毒程序再执行宿主程序
• main proc near • mov ax,4c00h
本com文件的实际有效指令
• int 21h
• code ends
• end main
• 下面,我们来分析病毒文件的工作过程:
打开目标文件() 读入目标文件() 移动文件指针到文件()尾部 根据的尾部地址,构造JMP指令(文件尾部 是病毒代码的开始处,也就是jmp要跳转到的地址) 将病毒体()附加在感染文件()后面 移动文件指针到文件()开头 将构造好的 JMP 指令写入文件的起始处
• 文件型病毒传播方式
– 当宿主程序运行时,病毒程序首先运行,然后 驻留在内存中,再伺机感染其它的可执行程序, 达到传播的目的
文件型病毒
• 文件型病毒的感染对象
– 扩展名是COM或者EXE的文件是文件型病毒感染 的主要对象
文件型病毒破坏过程
系统启动 运行.com或.exe文件
引导模块
病毒随文件转到内存
– 检测准确快速 – 可识别病毒的名称 – 误报警率低 – 依据检测结果可做解毒处理 – 是检测已知病毒的最简单、开销最小的方法
特征代码法
• 特征代码法的缺点:
– 不能检测未知病毒。 – 不能检查多态性病毒。 – 不能对付隐蔽性病毒。 – 随着病毒种类的增多,逐一检查和搜集已知病
计算机病毒实验报告
计算机病毒实验报告计算机病毒实验报告引言:计算机病毒是一种恶意软件,可以对计算机系统造成破坏和损失。
为了更好地了解计算机病毒的特点和对计算机系统的影响,我们进行了一系列的实验。
本报告将详细介绍我们的实验过程、结果和结论。
实验一:病毒传播方式我们首先研究了计算机病毒的传播方式。
通过在一个封闭的网络环境中模拟实验,我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。
这些传播方式都依赖于用户的不慎操作或者系统的漏洞。
实验二:病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。
在一个实验环境中,我们分别在未感染和感染病毒的计算机上进行了性能测试。
结果显示,感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。
这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。
实验三:病毒防护措施为了更好地保护计算机系统免受病毒攻击,我们进行了一系列的病毒防护措施实验。
我们测试了不同的杀毒软件和防火墙,并对其进行了性能和效果的评估。
结果显示,合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播,保护计算机系统的安全。
实验四:病毒对个人隐私的威胁除了对系统性能的影响,计算机病毒还可能对个人隐私造成威胁。
我们进行了一项实验,模拟了一个病毒窃取个人信息的场景。
通过在一台计算机中安装了一个窃取密码的病毒,我们发现该病毒能够成功获取用户的登录信息和敏感数据。
这个实验结果提醒我们,保护个人隐私是非常重要的,我们应该谨慎对待未知来源的文件和链接。
结论:通过一系列的实验,我们对计算机病毒有了更深入的了解。
计算机病毒的传播方式多种多样,主要依赖于用户的不慎操作和系统的漏洞。
感染病毒会导致计算机系统性能下降,并可能对个人隐私造成威胁。
为了保护计算机系统的安全,我们应该采取合适的病毒防护措施,如安装杀毒软件和防火墙,并且要时刻保持警惕,不轻易打开未知来源的文件和链接。
总结:计算机病毒是现代计算机系统中的一大威胁,对系统性能和个人隐私都有着巨大的影响。
实验室安全考试——网络安全 +安全图示
网络安全计算机病毒有窃取数据的功能。
AA正确B错误我国从20世纪60年代开始研究电磁泄漏发射技术。
BA正确B错误辐射泄漏是指计算机在工作时,其处理的信息能沿着其电源线和通信线路进行传播发射。
B A正确B错误保证涉密信息系统的机房设备和终端应该存放在安全可靠的地方。
AA正确B错误涉密信息系统(政务内网)不需要与政务外网和因特网实行物理隔离。
BA正确B错误客户端微机可以同时与政务内、外网相通。
BA正确B错误政务内网的布线要采用光纤或普通电缆。
BA正确单位与单位政务内网之间的信息传输,应利用宽带保密通道。
AA正确B错误使用面向连接的电路交换方式时,应采用认证和链路加密措施。
采用的加密设备可由各单位自行设置。
BA正确B错误涉密信息系统中涉密设备的安装使用,应满足国家保密标准BMB3的要求。
BA正确B错误电磁屏蔽室属于电磁泄露的防护技术。
AA正确B错误携带涉密的个人计算机外出,须经单位领导批准,并采取必要的保护措施。
AA正确B错误防火墙的基本功能有数据包过滤和网络地址转换。
AA正确B错误防火墙越多越好,安装两个以上的软件防火墙更有利于网络的安全。
BA正确数据完整性鉴别技术一般包括口令、密钥、身份、数据等项的鉴别。
AA正确B错误数据传输加密技术目的是对传输中的数据流加密,常用的方针有线路加密和端―端加密两种。
A正确B错误密文存储是对用户资格、格限加以审查和限制,防止非法用户存取数据或合法用户越权存取数据。
BA正确B错误密钥的媒体有:磁卡、磁带、磁盘、半导体存储器等。
AA正确B错误入侵检测系统的类型有基于网络的入侵检测、基于主机的入侵检测、混合入侵检测、文件完整性检查。
AA正确B错误基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不定时地监视网段中的各种数据包。
BA正确B错误基于网络的入侵检测产品(NIDS)如发现数据包和其产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。
AA正确B错误基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机和总控制系统之上。
rundll32.exe进程分析及病毒解决
利用rundll32重启机器的实验 : 点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然后键入rundll32.exe user.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!
RUNDLL.EXE
这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位於c:\ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll不能用来呼叫含返回值参数的Dll,例如Win32API中的GetUserName(),GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为:
Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
Shell “命令列”
如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然后写入WinAPI的声明,最后才能在程式中呼叫。而现在只需一句:
);
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
什么是计算机病毒?是怎么产生的?
什么是计算机病毒?是怎么产⽣的?什么是病毒?是怎么产⽣的?什么是病毒?病毒的介绍1、计算机病毒与其他合法程序⼀样,是⼀段可执⾏程序,但它不是⼀个完完整的程序,⽽是寄⽣在其他可执⾏程序上,当执⾏这个程序时,病毒就其破坏作⽤2、他们能把⾃⾝附着在各种类型的⽂件上,当⽂件被复制或从⼀个⽤户传送到另⼀个⽤户时,它们就随同⽂件⼀起蔓延开来3、传染性是病毒的基本特征,⼀旦⽹络中⼀台计算机中了病毒,则这台计算机中的病毒就会通过各种渠道从已被感染的计算机扩散到没有感染的计算机上,以实现⾃我繁殖4、⼀个标志精巧的计算机病毒程序,进⼊系统之后⼀般不会马上发作、⽽是潜伏在合法⽂件中。
它们⼀般可以潜伏很长时间不被⼈发现。
病毒的潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越⼤5、是指病毒因某个时间或数值的出现,诱使病毒实施感染或进⾏攻击的特性6、计算机中毒后,可能会导致正常的程序⽆法运⾏,把计算机内的⽂件删除或使计算机⽂件受到不同程度的损坏7、计算机病毒具有很强的隐藏性,有的可以通过杀毒软件检查出来,有的根本就查不出来,后⾯这⼀类病毒处理起来通常很困难病毒的分类附带型病毒通常附带于⼀个EXE⽂件上,其名称与EXE⽂件名相同,但扩展是不同的,⼀般不会破坏更改⽂件本⾝,但在DOS读取时⾸先激活的就是这类病毒蠕⾍病毒它不会损害计算机⽂件和数据,它的破坏性主要取决于计算机⽹络的部署,可以使⽤计算机⽹络从⼀个计算机存储切换到另⼀个计算机存储来计算⽹络地址来感染病毒可变病毒可以⾃⾏应⽤复杂的算法,很难发现,因为在另⼀个地⽅表现的内容和长度是不同的有哪⼏种类病毒系统病毒系统病毒的前缀为:Win32、PE、Win95、W32、W95等。
这些病毒的⼀般公有的特性是可以感染windows操作系统的 .exe 和.dll ⽂件,并通过这些⽂件进⾏传播。
如CIH病毒蠕⾍病毒蠕⾍是⼀种可以⾃我复制的代码,并且通过⽹络传播,通常⽆需⼈为⼲预就能传播。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验三32位文件型病毒实验目的:(1)了解文件型病毒制造基本原理;(2)了解病毒的感染、破坏机制、进一步认识病毒程序;(3)掌握文件型病毒的特征和内在机制;实验环境:Win2000\Win9X\WinNT\WinXP实验内容:用PE分析器对比分析文件感染病毒后的变化病毒引导说明:文件型病毒,没有引导部分演示病毒传染说明:传染范围:Virus.exe所在目录传染目标:可执行文件(.exe)传染过程:搜索目录内的可执行文件,逐个感染病毒触发说明:触发条件:运行Virus.exe程序或被Virus.exe感染的程序病毒破坏说明:破坏能力:无害型传染时减少磁盘的可用空间,在可执行文件上附加一个节(4K)破坏方式:攻击文件在可执行文件上附加一个节(4K),修改可执行文件的入口地址破坏范围:Virus.exe所在目录病毒查杀说明:病毒危害等级:低,属于无害型病毒病毒特征类型:Bloodhound.W32.1(Norton AntiVirus检测结果,这是Symantec软件来临时指代新病毒的文件)病毒查杀方法:删除所有被感染的文件实验步骤:1、附书资源目录\Experiment\win32virus,书中的目录包括virus.exe(编译的病毒程序)、软件说明书.doc(请仔细阅读)、源代码详解.doc(对代码部分加入了部分注释)以及pll.asm(程序源代码),example.rar包中选取的一个常用程序(ebookedit)2、将example.rar解压缩到某个目录如D:\virus,解压完毕后应该在该目录下有Button目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe、keymaker.exe等程序,然后把virus.rar解压后的virus.exe复制到该目录中;3、当防病毒程序如Norton AntiVirus(注:此处的测试应以当前测试机器上安装杀毒软件为准,本示例运行时机器上安装的只有Norton AntiVirus,故以此为参照)自动防护功能打开时,鼠标光标位于病毒程序上时,会看到如下的图例:图解说明:注解0-1表示Norton AntiVirus的自动防护功能打开着;注解0-2就是防病毒软件在用户鼠标置于图例0中注解0-3处的Virus.exe程序上时的报警提示。
演示说明:作为自己开发的病毒程序,为了能够更好的演示病毒的特征,在开发过程中我们没有采用病毒的保护机制,故而防病毒软件根据病毒程序的特征即可给出该程序为病毒程序的报警提示。
3、关闭防病毒软件的自动防护功能,点击病毒程序Virus.exe,运行该程序,参见下图:图解说明:注解1-1表示Norton AntiVirus的自动防护功能被关闭;注解1-2为病毒程序运行主界面,本实验为了能够比较直观演示病毒程序,让用户知道正在运行某个程序,故而有此主界面;但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行的,往往都是隐藏运行,或者是寄生在宿主程序中,这方面可参照病毒的引导机制的介绍。
演示说明:详见备注4、提示用户是否观看感染过程,如下图:5、开始感染提示,如下图图解说明:注解2-1提示用户是否观看病毒的感染过程,选择“是”观看感染过程,选择“否”运行原程序,由于该病毒程序不具有其他功能,所以选“否”时就直接关闭程序。
演示说明:该文件型病毒侧重于病毒感染过程的演示,所以在感染部分的提示比较详细。
图解说明:注解3-1提示用户病毒程序开始感染其他程序演示说明:无6、提示病毒感染范围,如下图:7、提示当前搜索到的合法的目标程序,如下图:图解说明:注解4-1提示用户病毒程序感染目标是病毒程序所在目录里的程序。
演示说明:为了减少病毒破坏的范围,在编写该病毒程序时,限定其感染范围为目录内感图解说明:注解5-1提示说明当前搜索的目标程序是ebookedit.exe可执行文件。
演示说明:无8、判断目标程序是否是合法的可感染的程序,如下图:图解说明:注解6-1提示目标程序是否为合法的可感染程序。
演示说明:Virus.exe可以感染的目标程序为PE文件中的可执行文件9、感染情况说明提示,如下图:图解说明:注解7-1提示对病毒的感染情况进行说明。
演示说明:Virus.exe感染方式是在宿主文件附加一个节(4K),被感染的宿主程序运行时先跳转到该节处,运行感染代码;感染结束后再返回宿主程序的入口地址执行宿主程序。
这也体现了本病毒程序的破坏方式,作为一个演示的病毒程序,破坏程度应该在可控范围内,一些恶性的破坏方式可参照病毒的破坏机制说明。
感染结果情况可参照步骤12的图例,Virus.exe被防病毒软件查出为病毒也正是因为该操作,具体参照步骤18的图例。
8、感染过程隐藏说明(小技巧),如下图:图解说明:注解8-1提示说明病毒程序加入中sleep的代码的目的。
演示说明:此处加入该说明是也是为了说明是否存在病毒运行的一种判断思路,在手工查毒时有时就是依照该手段来判断当前机器是否有异常程序在运行;如果机器没有明显的程序在运行,而硬盘的指示灯一直闪烁,在高速运转着,则可粗略判断机器有异常程序在运行。
防病毒的相关技术可参照防病毒基础技术部分介绍。
当然对于病毒程序本身而言,为了避免被发现,就需要通过sleep一段时间再进行感染来降低被发现的可能性。
10、提示是否观看其他程序感染过程,如下图:图解说明:注解9-1提示是否观看其他程序感染过程。
演示说明:无11、该图例与步骤6的图例同步,该图例是目标程序不合法或已被感染后的提示,如下图:图解说明:注解11-1是目标程序不合法或已被感染的提示。
演示说明:Virus.exe可感染的目标为标准的可执行文件(绝大部分的.exe文件),在感染过程中对已感染的程序会进行检查是否已被感染,若已经被感染则不再进行感染:一可以提高病毒感染的效率,二可以防止多次感染使文件增大而引起用户的察觉。
12、比较目标程序感染前后的变化(注要指程序大小),如下图(图例12;图例12A和图例12B;图例12C和图例12D):图解说明:注解12-1是KeyMaker.exe程序感染前的大小298KB(305,664 字节);注解12-2是KeyMaker.exe程序感染后的大小302KB(309,760)。
13、比较目标程序感染前后的变化(注要指程序大小),如下图(图例12;图例12A和图例12B;图例12C和图例12D):图解说明:图例12A、12B、12C、12D是通过PE Viewer程序打开目标程序的图示。
对照图例12A和12B的注解:注解1表示KeyMaker.exe程序的节数由感染前的9个增加到10个;注解2程序大小的变化由00043000增加到00044000;注解3是程序入口地址的变化由00043DE8变为00054B93;注解4是程序占用空间的变化由00054000增加到00055000;注解5是程序校验和的变化由0004C1FB 变为0004C543。
图解说明:对照图例12C和12D的注解:注解1表示增加的一个节的具体内容。
演示说明:这就是程序被感染后的结果,目标程序被增加一个节(4 KB=4096字节),程序入口地址被修改,程序大小和占有空间增加4K。
14、测试感染后程序是否为病毒携带程序的图示,如下图:图解说明:注解13-1表示Norton AntiVirus的自动防护功能打开着;注解13-2就是防病毒软件在用户鼠标置于图例13中注解13-3处的KeyMaker.exe程序上时的报警提示。
演示说明:由此病毒报警提示可知KeyMaker.exe已被感染,成为病毒Virus.exe携带者,并已具有病毒程序Virus.exe的特征。
此处为了防止Virus.exe影响测试结果,在测试时把Virus.exe放到临时目录temp中,主目录留下被Virus感染的程序。
15、病毒携带程序KeyMaker.exe的运行情况,如下图图解说明:注解14-1表示Norton AntiVirus的自动防护功能被关闭;注解14-2为病毒携带程序KeyMaker.exe运行初始界面;注解14-3表示当前运行是KeyMaker.exe。
演示说明:运行KeyMaker.exe来检查程序被感染的情况以及该程序是否具有感染功能,在演示时为了能够测试效果,应该将其他的可执行文件换成未被感染的程序,只需从原先的测试包中将除KeyMaker.exe外的可执行文件拷贝过来复制即可。
16、是否观看病毒携带程序KeyMaker.exe的感染过程提示,如下图:图解说明:注解15-1是否观看病毒携带程序KeyMaker.exe的感染过程提示。
选择“是”观看感染过程,参照步骤16图示;选择“否”运行原程序,参照步骤17图示。
演示说明:无17、病毒携带程序KeyMaker.exe的开始感染提示,如下图:图解说明:注解16-1提示病毒携带程序KeyMaker.exe的开始感染其他程序,后面的步骤与步骤4开始类似。
演示说明:无18、病毒携带程序KeyMaker.exe不进行感染运行主程序图示,如下图:图解说明:注解17-1是病毒携带程序KeyMaker.exe的运行界面。
演示说明:无19、病毒携带程序ebookedit.exe的感染过程被防病毒程序检测到的图示,如下图:图解说明:注解18-1表示Norton AntiVirus的自动防护功能打开着;注解18-2是目标感染程序(此处是刚复制过来的未感染的测试程序);注解18-3表示正在运行的是病毒携带程序ebookedit.exe;注解18-4提示当前感染过程结束,在宿主程序ebookcode.exe增加一个节,修改了文件头;注解18-5提示该过程被检测有病毒程序在运行,从而进行病毒预警提示。
演示说明:详见备注。