病毒防范与分析实训报告

苏州市职业大学病毒防范与分析实训报告

苏 州 市 职 业 大 学

实习（实训）任务书

名 称：起讫时间： 2013年1月1日 ~2013年1月6日 院 系： 计算机工程系 班 级： 10网络安全（CIW）

指导教师： 系 主 任： 李金祥

苏州市职业大学病毒防范与分析实训报告

实习(实训)目的和要求 掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。要求掌 握以下主要技能： 1.掌握文件型病毒原理、发现方法、查杀技巧； 2.掌握宏病毒的感染方式、工作原理和查杀方法； 3.掌握脚本病毒的一般性工作原理、常见的感染方式； 4.掌握邮件型病毒的传播方式、工作原理、查杀方法； 5.掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；

二、实习(实训)内容

[实训平台]中软吉大网络信息安全教学实验系统 项目一、文件型病毒—PE 病毒1.实验目的 了解文件型病毒的原理，了解 PE 文件结构，了解文件型病毒的发现方法，了解病毒专杀工具 的基本原理 2.实验工具 LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32、VC++6.0 3.实验内容 一.验证利用 OllyDBG 修改病毒感染程序 (1)进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。新建文件夹 “text” ,将文件夹“hei”下的 hei0.exe(未感染病毒的可执行程序)复制到 text 目录中。点击 工具栏“LaborDayVirus”按钮，将目录中的 LaborDayVirus.exe 也复制到 text 目录中。将系统 时间调整为 5 月 1 日，双击 text 目录下 LaborDayVirus.exe 感染 hei0.exe 文件，观察 hei0.exe 感染病毒前后的大小变化。我发现 hei0.exe 文件的大小由感染之前的 3KB 变成了 7KB,结果如图 1-1、1-2 所示：

苏州市职业大学病毒防范与分析实训报告

图 1-1:感染前 hei0.exe 的大小

图 1-2:感染后 hei0.exe 的大小 (2)单击工具栏“OllyDBG”按钮启动 ollyDbg1.10,单击文件菜单中的“打开”项，选择要 修复的 hei0.exe。由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。 如图 1-3 所示：

图 1-3:打开要修复的文件 单击“确定”按钮继续，程序会停在病毒修改后的程序入口点(hei0.exe 的入口点为 0x00403200)上，在代码中找到最后一个 jmp 指令处(病毒感染完成后将跳转回原程序) ,按 F2 设置断点，按 F9 运行，程序会在刚设置的 jmp 断点上中断，查看 EAX 寄存器的值(EAX=0x401000 注意上面提到的断点，下面还会用到) ,按 F7 单步执行到下一条指令地址，点选鼠标右键，选择 菜单中的“用 ollyDump 脱壳调试进程” ,选中重建输入表方式 1,方式 2 各脱壳一次，分别保存为 1.exe、2.exe。测试两个程序不具有病毒的传染特性了，如图 1-4、1-5、1-6 所示：

苏州市职业大学病毒防范与分析实训报告

图 1-4:用 o

llyDump 脱壳调试进程

图 1-5:保存脱壳文件

图 1-6:双击运行脱壳文件

苏州市职业大学病毒防范与分析实训报告

二.病毒感染机制分析 (1)准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为 hei0.ex_,hei.ex_,并复制到一个新的目录下用于调试、对比。 (2) 进入实验平台， 点击工具栏中的 “PE” 按钮， 使用 PE Explorer 分别打开 hei.ex_和 hei0.ex_ 文件，对比两个文件入口点(OEP--Address of Entry Point)和 Image Base 并分别记录。OEP hei0.ex_ hei.ex_ 00001000h 00005200h ImageBase 00400000h 00400000h

点击“View”菜单中的“Section Headers”进入 Section Headers 页面，比对 Section Header 的数据信息并记录到下面表格。Virtual Size hei0.ex_ 的.data hei.ex_ 的.data Virtual Address Size of Raw Data Point to Raw Data 00000800 h 00002A00 h

00000027h

00403000h

00000200h

00000388h

00404000h

00000200h

由于一般文件型病毒只有代码段，数据和代码都存在一起。所以可以断定 hei.ex_的.data 段 多出的数据即为病毒代码和数据。 (3)进入实验平台，单击工具栏中“UE”按钮，打开 Ultra Editor,选择“文件”菜单中的 “比较文件” 功能对 hei0.ex_和 hei.ex_进行二进制比对， 可以发现在 hei.ex_文件的 0xa00 处开 始的数据块为存储于.data 节的病毒代码。如图 1-7 所示：

图 1-7:比较文件

苏州市职业大学病毒防范与分析实训报告

「注」 该段数据在.data 节是因为 hei0.ex_和 hei.ex_的.data 节都开始于各自文件偏移的 Point to Raw Data 处。这段数据是病毒代码是因为 0xa00 - 0x800 + 0x403000 = 0x403200(感 染病毒文件 hei.ex_ OEP 的虚地址(VA)。 ) (4)使用 Ultra Editor 打开 hei.ex_定位光标到 hei.ex_的.data 块的 Point to Raw Data 位置， 并以 16 进制形式查找 hei0.ex_的入口点(注意字节顺序), 将查找到的数据的文件偏移记录 00002A00h。如图 1-8 所示：

图 1-8:查找 hei0.ex_的入口点 (5)定位上面例子中 hei.ex_的 jmp 断点，在 jmp 指令上面会发现如下的汇编代码： 004047F3 6A 00 004047F5 FF95 34FEFFFF 004047FB 8985 58FDFFFF 00404801 8B4D FC 00404804 8B11 00404806 0395 58FDFFFF 0040480C 8995 D4FDFFFF 00404812 8B85 D4FDFFFF 00404818 FFE0 0040481A 8BE5 PUSH 0 计算宿主文件 CALL DWORD PTR SS:[EBP-1CC] 原入口地址，跳转 MOV DWORD PTR SS:[EBP-2A8],EAX 执行宿主程序 MOV ECX,DWORD PTR SS:[EBP-4] MOV EDX,DWORD PTR DS:[ECX] ADD EDX,DWORD PTR SS:[EBP-2A8] ; hei.00400000 MOV DWORD PTR SS:[ …… 此处隐藏：7028字，全部文档内容请下载后查看。喜欢就下载吧 ……