[计算机]反病毒实验二报告

《[计算机]反病毒实验二报告》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、中国矿业大学计算机科学与技术系实验报告课程名称计算机病毒与反病毒技术实验名称PE结构分析及DOS病毒感染与清除班级信安08-1班姓名汤砚晗学号08083637实验日期2008.6.24实验报告要求：1.实验目的2.实验内容3.实验步骤4.运行结果5.流程图6.实验体会一、实验目的1．熟悉PE文件结构2．掌握DOS系统下.EXE文件病毒感染与清除方法二、实验内容1）手工或编程从user32.dll中获得MessageBoxA的函数地址；2）查阅资料，结合第2章内容，根据PE结构编写一个小的工具软件，或者

2、用PEExplorer、PEditor、Stud_PE等工具软件查看、分析PE文件格式。针对PE文件格式，请思考：Win32病毒感染PE文件，须对该文件作哪些修改；3）示例病毒exe_v感染原理及其清除三、实验步骤【构建编译环境】安装RadASM（在此安装到D盘下）设定系统环境变量为INCLUDE=D:RadASMmasm32includeLIB=D:RadASMmasm32inc注销使环境变量生效关闭所有杀毒软件(2).使用RadASM新建一个asm文件,名为hostPE.asm,使用R

3、adASM编译连接生成hostPE.exe(4)把原hostPE文件复制一个作为备份，拷贝到其他文件夹，留一个拷贝与Immunity.exe放在同一文件夹下(5)运行Immunity.exe(6)比较host_pe.exe文件与原来的.exe文件的变化。(7)手工清除Immunity病毒四、实验结果五、实验体会Immunity.exe病毒不驻留内存，也没有采用加密、压缩、变形等技术，启动的时候，首先获取所需的API函数的地址，然后在当前目录下查找host_pe.exe文件，若没有找到，则在Window

4、s目录、System/System32目录下继续查找。在找到host_pe.exe后，判断是否是PE文件、是否已经被感染等，若条件满足，则在host_pe.exe中添加名为.A的节（我使用的病毒源码如此），并将病毒代码写入其中，然后修改文件头，使得入口地址指向刚添加的节。最后，将全部节未对齐大小设置为对齐后的大小，制造不存在空洞的假象，从而达到避免被CIH病毒寄生感染的免疫目的。六、实验小结Immunity表面上是为了使程序“免疫”CIH病毒这种利用空洞进行感染的恶意程序，但是该程序会使得经过免疫处理

5、的PE文件变大、运行缓慢。在使用RadASM进行汇编连接过程中出现了”找不到*.inc“的错误，后来通过设置系统环境变量、修改代码而得以解决。随着安全技术的不断发展，像CIH、Immunity这种设计精巧的病毒已经越来越少见，但是安全技术的发展并不能完全起到相应的保证作用。现代的”钓鱼网站“、”购物欺诈“等都是由于用户安全意识淡薄造成的，病毒本身往往技术含量低，很容易被查杀，但用户却容易受到欺骗自己手动关闭杀毒软件，这种现象更值得深思。教师评价优良中及格不及格教师签名日期