计算机病毒和入侵检测大作业
- 格式:doc
- 大小:117.00 KB
- 文档页数:6
计算机病毒和入侵检测实验报告
本练习由单人为一组进行。
首先使用“快照X”恢复Windows系统环境。
一.验证利用OllyDBG修改病毒感染程序
(1)进入实验平台,单击工具栏“实验目录”按钮,进入文件型病毒实验目录。
新建文件夹“text”,将文件夹“hei”下的hei0.exe(未感染病毒的可执行程序)复制到text目录中。
点击工具栏“LaborDayVirus”按钮,将目录中的LaborDayVirus.exe也复制到text目录中。
将系统时间调整为5月1日,双击text目录下LaborDayVirus.exe感染hei0.exe文件,观察hei0.exe感染病毒前后的大小变化。
(2)单击工具栏“OllyDBG”按钮启动ollyDbg1.10,单击文件菜单中的“打开”项,选择要修复的hei0.exe。
由于病毒修改了原程序的入口点,因此会有程序入口点超出代码范围的提示,如图10-2-1所示。
图10-2-1 入口点警告提示
单击“确定”按钮继续,程序会停在病毒修改后的程序入口点(hei0.exe的入口点为
0x00403200)上,在代码中找到最后一个jmp指令处(病毒感染完成后将跳转回原程序),按
F2设置断点,按F9运行,程序会在刚设置的jmp断点上中断,查看EAX寄存器的值(EAX=0x401000
注意上面提到的断点,下面还会用到),按F7单步执行到下一条指令地址,点选鼠标右键或选择“插件”菜单项,选择菜单中的用ollyDump脱壳调试进程,选中重建输入表方式1,方式2各脱壳一次,分别保存为1.exe、2.exe。
测试两个程序是否还具有病毒的传染特性_______ 1.exe显示“不是有效的win32应用程序”2.exe显示“这是一个病毒测试程序”,都不具感染性
「注」由于重建输入表的方式不同,可能造成某一种导出方式导出的文件无法正常运行,在实验中可以两种方式都导出执行文件,选择可以执行的一种方式来清除病毒。
二.病毒感染机制分析
(1)准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_,hei.ex_,并复制到一个新的目录下用于调试、对比。
(2)进入实验平台,点击工具栏中的“PE”按钮,使用PE Explorer分别打开hei.ex_和hei0.ex_文件,对比两个文件入口点(OEP--Address of Entry Point)和Image Base并分别记录。
点击“View”菜单中的“Section Headers”进入Section Headers页面,比对Section Header的数据信息并记录到下面表格。
由于一般文件型病毒只有代码段,数据和代码都存在一起。
所以可以断定hei.ex_的.data 段多出的数据即为病毒代码和数据。
(3)进入实验平台,单击工具栏中“UE”按钮,打开Ultra Editor,选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对,可以发现在hei.ex_文件的
0xa00处开始的数据块为存储于.data节的病毒代码。
「注」该段数据在.data节是因为 hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的Point to Raw Data处。
这段数据是病毒代码是因为0xa00 - 0x800 + 0x43000 = 0x43200(感染病毒文件hei.ex_ OEP的虚地址(VA))。
(4)使用Ultra Editor打开hei.ex_定位光标到hei.ex_的.data块的Point to Raw Data 位置,并以16进制形式查找hei0.ex_的入口点(注意字节顺序),将查找到的数据的文件偏移记录___201c h_______。
计算该偏移的保护模式内存虚拟地址:___________40481c h_________。
(5)定位上面例子中hei.exe的jmp断点,在jmp指令上面会发现如下的汇编代码。
0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区,0x1000为
hei0.exe OEP的RVA 0x1000在反汇编代码中的表示是0010。
(6)进入实验平台,单击工具栏中的“实验目录”按钮,利用上面的方法分别对实验目录下的1、2、3子目录下的文件进行调试,注意比对感染病毒文件和原文件特征,将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。
(7)通过以上的分析,就可以初步断定,该病毒的感染方式是:___修改可执行文件的代码中程序入口地址,变成病毒的程序入口,导致运行的时候执行病毒文件_______。
三.设计专杀工具
参考例程vk.exe源码(位于目录C:\JLCSS\TOOLS\VirusExperiment\Filevirus\
下),编写病毒专杀程序,清除laborDayVirus.exe病毒。
通过任务二,了解到LaborDayVirus.exe病毒的感染机制,这里通过所学的知识对病毒进行清除。
(1)查找病毒寄存特征。
入口点在代码节(.text)之外,病毒代码存储于最后一节、且在病毒代码段后的一个双字为原程序代码入口RVA(在.text节范围内)。
文件病毒代码以0xE58BE0FF结尾。
(以上特征是对简化后的病毒特征的总结、实际中的病毒要复杂的多);
(2)查找原程序入口点。
(3)修改程序入口点为原程序入口点。
(4)修改病毒感染的最后一个节表的SizeOfRawData,使之大小变为去掉病毒代码时的大小。
(5)修改PE文件选项头中的SizeOfImage为去掉病毒代码后的大小。
(6)清除病毒代码数据。
(7)保存清除病毒代码后的文件。
思考问题:
1.PE文件中RV A到V A的转换方法?
2.PE文件中RV A到文件偏移的转换方法?
3.文件偏移到RV A的转换方法?
4.PE文件中的标志字段又那些?
5.PE文件中的几个核心结构?
6.PE文件中的几个核心结构的功能?了解个结构成员的功能?7.文件型病毒的主要特点?
8.简述病毒查杀的基本原理?。