《计算机病毒分析和防范》实验指导书.docx
- 文档编号:29691253
- 上传时间:2023-07-26
- 格式:DOCX
- 页数:16
- 大小:477.69KB
《计算机病毒分析和防范》实验指导书.docx
《《计算机病毒分析和防范》实验指导书.docx》由会员分享,可在线阅读,更多相关《《计算机病毒分析和防范》实验指导书.docx(16页珍藏版)》请在冰豆网上搜索。
《计算机病毒分析和防范》实验指导书
《计算机病毒及其防范技术》
实验指导书
指导教师:
雷帅贤
适用专业:
计算机网络
内蒙古电子信息职业技术学院
2009年3月
实验1:
WinHex读取硬盘主分区表
1.实验目的与要求
目的:
掌握硬盘主分区表的结构
要求:
1)掌握实用WinHex软件。
2)能够使用WinHex软件查看磁盘内容,通过0柱面,0磁头,1扇区看懂该计算机分区情况。
2.实验条件
学生自己的笔记本,网线,从ftp上下载WinHex软件
安装WinHex软件
3.实验内容与步骤
内容:
1)了解硬盘主分区表的结构和内容
2)安装WinHex软件
3)用WinHex打开磁盘,查看该计算机的磁盘内容
4)找出主分区表的位置
5)列出该计算机主分区表的分区情况
步骤:
1)了解硬盘主分区表的结构和内容
主引导扇区(BootSector)也就是硬盘的第一个扇区(0柱面0磁头1扇区)
i.主引导记录(MasterBootRecord,MBR)
ii.主分区表即磁盘分区表(DiskPartitionTable,DPT)
iii.引导扇区标记(BootRecordID/Signature)
2)安装WinHex软件,打开Winhex,查看磁盘内容
3)列举主分区表的意义上各个数据的意义
4.实验报告要求及实验成果的收集
按成都东软信息技术学院《实验报告》格式填写实验报告。
如果是纸质版实验报告册,学生要按要求逐页填写实验报告,并按老师要求上交评阅,评阅后返还学生,课程结束前教师收集全部学生的实验报告册存档。
如果是电子版实验报告,每次要按规范命名:
学号姓名实验次数.doc,如:
0711710101张三1.doc,每次实验后由行政班班长或学习委员收齐后统一按时提交给指导教师。
学生实验电子文档(源代码等)也要按规范命名:
学号姓名实验次数.rar,如:
0711710101张三1.rar,每次实验后由行政班班长或学习委员收齐后统一按时提交给指导教师。
实验2:
WinHex读MZ文件头
5.实验目的与要求
目的:
掌握MZ文件头的结构
要求:
1)掌握WINHEX软件的使用,来读MZ文件的内容
2)通过WinHex显示的内容,来掌握MZ文件头的数据结构的各个字段的意义,从而了解病毒感染MZ文件的机制
6.实验条件
学生自己的笔记本,Windows操作系统,WinHex软件,MZ文件
7.实验内容与步骤
内容:
6)学习MZ文件格式,包括文件头、重定位表和二进制代码
7)使用WinHex查看MZ文件的文件头内容
8)了解文件头中各个字段代表的意义,并列举出来
步骤:
3)学习MZ文件格式,包括文件头、重定位表和二进制代码
1.文件以英文字母“MZ”开头,通常称之为MZ文件
2.MZ文件有一个文件头,用来指出每个段的定义,以及重定位表。
.EXE文件摆脱了代码大小最多不能超过64K的限制,是DOS下最主要的文件格式
偏移
大小(字节)
描述
00
2
EXE文件类型标记:
4D5Ah(ASCII字符MZ)
02
2
文件最后一个扇区的字节数
04
2
文件的总扇区(页)数文件的大小=(总扇区数-1)×512+最后一个扇区的字节数
06
2
重定位项的个数
08
2
EXE文件头的大小(16字节的倍数)
0A
2
最小分配数(16字节的倍数)
0C
2
最大分配数(16字节的倍数)
0E
2
初始化堆栈段(SS初值)
10
2
初始化堆栈指针(SP初值)
12
2
补码校验和
14
2
初始代码段指针(IP初值)
16
2
初始代码段段地址(CS初值)
18
2
定位表的偏移地址(第一个重定位项偏移量)
1A
2
连接程序产生的覆盖号
2)使用WinHex打开一个MZ文件FDisk.exe,阅读它的文件头,查看其关键的信息
3)列出其关键信息,并找到病毒需要修改的字段
实验3:
WinHex读PE文件头
目的:
掌握PE文件格式与Win32病毒的关系
要求:
1)掌握WINHEX软件的使用,来读PE文件的内容
2)通过WinHex显示的内容,来掌握PE文件的DOS头,DOS插桩程序和PE文件头的数据结构的各个字段的意义,从而了解病毒感染PE文件的机制
8.实验条件
1)学生自己的笔记本
2)Windows操作系统
3)WinHex软件
4)PE文件
9.实验内容与步骤
内容:
9)学习PE文件格式,包括DOS头,DOS插桩程序和PE文件头,节表、节
10)使用WinHex查看PE文件的文件头内容
11)了解文件头中各个字段代表的意义,并列举出来
步骤:
1)学习PE文件格式,包括DOS头,DOS插桩程序和PE文件头,节表、节
1.PE的意思就是PortableExecutable(可移植、可执行),它是Win32可执行文件的标准格式
2.由于大量的EXE文件被执行,且传播的可能性最大,因此,Win32病毒感染文件时,基本上都会将EXE文件作为目标
2)阅读PE文件头的内容
3)查阅几个最重要的关键字段的值,列出它们的意义
1.ImageBase
2.AddressOfEntryPoint
3.NumberOfSections
4.Machine
实验:
4:
COM文件型病毒编制
首先利用DEBUG命令编写一个实验性“原”程序。
使用DEBUG调试工具将其改为嵌入“病毒代码”的实验性“病毒”程序,完成以下功能:
将“病毒”程序合并到“原”程序后部,形成合并后的文件。
将“原”程序头部指令改为JMP或CALL,程序入口改到“病毒”程序入口。
3观察带毒程序:
判断程序的第一条指令将其改为首条JMP或CALL指令,转向病毒程序入口地址。
检查病毒体长度。
由于已改变“原”程序的主体,故程序增长。
运行验证,输入ESC键则显示仍为“hello”。
否则,程序死循环。
分析思考
1.COM文件病毒代码如何附着在病毒目标体上,如何实现病毒代码对程序的控制权?
病毒通过在宿主程序前添加3字节(跳转到病毒代拿的3字节JMP指令),在运行宿主程序时即获得的控制权限,搜索并感染目标文件,每感染一个髠文件,感染计数器增1,若感染数量到达设定值,则爆发(显示“Virusinfectiontest!
”等信息)。
实验5:
宏病毒实践与分析
●录制宏
以下用宏的制作讲述如何录制宏,示例宏名是“表格插入”,其作用是自动插入一个4x4的表格,通过快捷键CTRL+J或者“表格”菜单下子菜单“表格插入”,都能完成操作。
步骤:
1)打开word,新建一个文档,命名为“录制宏”
2)工具->宏->录制新宏
3)命名宏“表格插入”,先选择指定到“工具栏”,进入“命令”菜单,将刚才所建的宏拖动到word表格菜单下
4)然后选择“保存于”对话框,在这里可以选择保存于normal模板或者当前文件(两者都试一下,看有什么区别没)
5)在“自定义”对话框中选择“键盘”,进入快捷键的设置,
6)表格->插入表格,4x4表格。
7)点击“结束录制”,这样就完成了宏的制作,通过快捷键或者菜单栏可实现4x4表格的插入。
任务1:
录制一个宏,要求:
宏名为“美元符号”,每次利用快捷键CTRL+D就可实现插入美元符号,且该宏只对当前文档有效。
简单宏病毒的制作
感染所有的word文档,在C盘生成autoclose.txt文件,选择关闭按钮时,将会关闭计算机。
方法:
新建word文档,按ALT+F11,打开宏编辑器,鼠标右击“Normal”,选择“插入”->“添加模块”,输入以下代码并保存
实验6特洛伊木马的配置步骤
1)生成服务端
2)发送服务端
将木马服务端发送出去
3)控制服务端
木马受害者上线以后,控制端可以控制木马受害者的文件,远程控制命令,控制注册表,以及屏幕等。
进城控制
截获屏幕
结论
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒分析和防范 计算机病毒 分析 防范 实验 指导书
![提示](https://static.bdocx.com/images/bang_tan.gif)