大学计算机病毒实验一引导型病毒实验报告

合集下载

计算机病毒实验报告-1

病毒理论与防御技术实验报告2015年3月1日实验一：**********一、实验目的1）掌握PE文件格式。

2）了解PE病毒原理。

二、实验步骤1）阅读CVC杂志。

2）学习使用PE Explorer查看不同PE结构文件格式，如exe和dll。

3）文件型病毒演练。

a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。

b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。

c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton能够比较及时的查出是病毒程序；而ebookedit.exe 和 ebrand-it.exe 是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加4k的节时，杀毒软件检测到该行为时才能判断是病毒程序。

三、思考题1、详细记录实验步骤、现象、问题。

实验现象：1)PE文件格式按节组织（section）->中病毒之后section number变多（多了一个IS节）中病毒之后Address of entry point程序入口点变化（调用子程序SUB_L0066D58B）2）中病毒文件中病毒文件也具有了感染其他文件的功能。

●病毒重定位：原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。

那么病毒需要用到的变量的位置就无法确定。

这就是病毒首先要重定位的原因。

目的：找到基址举例：在几乎每个病毒的开头都用下面的语句:call deltadelta:pop ebp ;得到delta地址sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位mov dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置●API函数地址的获取：步骤：首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.2、写下你阅读CVC杂志后的读后感，你同意杂志的所表达的倾向吗，你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系，为什么？CVC杂志很有意思，语言幽默，观点明确，并且总结了很多关于病毒的基础知识。

计算机病毒实验报告_实验报告_

计算机病毒实验报告说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2.报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3.要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4.说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5.只提交报告电子版。

在规定的日期内，通过电子邮件发送到[emailprotected]，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6.为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“20xx12345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。

三、实验环境与工具操作系统：Windows XP/Windows Vista/Windows 7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果一）按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。

计算机病毒实验报告

计算机病毒实验报告计算机病毒实验报告引言：计算机病毒是一种恶意软件，可以对计算机系统造成破坏和损失。

为了更好地了解计算机病毒的特点和对计算机系统的影响，我们进行了一系列的实验。

本报告将详细介绍我们的实验过程、结果和结论。

实验一：病毒传播方式我们首先研究了计算机病毒的传播方式。

通过在一个封闭的网络环境中模拟实验，我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。

这些传播方式都依赖于用户的不慎操作或者系统的漏洞。

实验二：病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。

在一个实验环境中，我们分别在未感染和感染病毒的计算机上进行了性能测试。

结果显示，感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。

这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。

实验三：病毒防护措施为了更好地保护计算机系统免受病毒攻击，我们进行了一系列的病毒防护措施实验。

我们测试了不同的杀毒软件和防火墙，并对其进行了性能和效果的评估。

结果显示，合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播，保护计算机系统的安全。

实验四：病毒对个人隐私的威胁除了对系统性能的影响，计算机病毒还可能对个人隐私造成威胁。

我们进行了一项实验，模拟了一个病毒窃取个人信息的场景。

通过在一台计算机中安装了一个窃取密码的病毒，我们发现该病毒能够成功获取用户的登录信息和敏感数据。

这个实验结果提醒我们，保护个人隐私是非常重要的，我们应该谨慎对待未知来源的文件和链接。

结论：通过一系列的实验，我们对计算机病毒有了更深入的了解。

计算机病毒的传播方式多种多样，主要依赖于用户的不慎操作和系统的漏洞。

感染病毒会导致计算机系统性能下降，并可能对个人隐私造成威胁。

为了保护计算机系统的安全，我们应该采取合适的病毒防护措施，如安装杀毒软件和防火墙，并且要时刻保持警惕，不轻易打开未知来源的文件和链接。

总结：计算机病毒是现代计算机系统中的一大威胁，对系统性能和个人隐私都有着巨大的影响。

《计算机病毒》实验一：引导型病毒实验

四、硬盘感染软盘
1．下载empty.img，并且将它插入虚拟机，启动电脑，由于该盘为空，将出现空白界面。
2．取出虚拟软盘，从硬盘启动，通过命令format A: /q快速格式化软盘。（由于版本原因，会出现NOT READY，硬盘格式化失败。）
结果和总结：
1.首先通过带病毒的软盘，将病毒从软盘加载到内存。这时，病毒寻找DOS引导区的位置，并将其移动到别的位置，病毒自己写入原DOS引导区。
2.病毒占据物理位置并获得控制权（在启动时获得），待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染、发作。
3.实验中，我们取出了软盘，并通过硬盘引导进入了病毒的界面，按任意键后正常引导了DOS系统，可见硬盘已被感染。
4.从一个空的软盘引导进入，显示为空没有感染，取出软盘后。从硬盘进入并格式化硬盘，再次从软盘进入，看到了感染现象，说明病毒已经由硬盘感染到了软盘。（可能是的病毒隐藏在引导区中，通过启动实现了感染）
实验内容：
（1）引导阶段病毒由软盘感染硬盘实验。通过触发病毒，观察病毒发作的现象和步骤学习
病毒的感染机制；阅读和分析病毒的代码。
（2）DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒，观察病毒发作的现象和步骤
学习病毒的感染机制；阅读和分析病毒的代码。
实验过程：
一、环境安装
1.安装虚拟机VMWare，在虚拟机中使用winbaicai快速格式化虚拟硬盘。
实验报告
题目：引导型病毒实验
姓名：王宇航
学号：09283020
实验环境：VMWare Workstation5.5.3MS-DOS 7.10
操作系统：windows系统XP（√）2003（）其他：

计算机病毒实验报告范本

计算机病毒实验报告Record the situation and lessons learned, find out the existing problems andform future countermeasures.姓名：___________________单位：___________________时间：___________________编号：FS-DY-20614计算机病毒实验报告说明1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2．报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5．只提交报告电子版。

在规定的日期内，通过电子邮件发送到[emailprotected]，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“20xx12345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

病毒技术实验报告

病毒技术实验报告引言近年来，随着信息技术的快速发展，病毒技术也逐渐成为网络安全领域的研究热点之一。

通过对病毒技术的深入研究，可以加强对现有病毒的分析和防范能力，提高网络安全的水平。

本实验旨在通过深入了解和实践病毒技术，以期对病毒的工作原理、传播途径和防御方法有更全面的认识。

实验目的1.了解病毒的工作原理和分类；2.学习病毒的传播方式和繁殖特性；3.掌握病毒的防御方法和安全措施。

实验步骤1. 病毒的工作原理病毒作为一种恶意软件，其主要功能是通过自我复制和传播感染目标计算机系统，给系统带来破坏和损失。

病毒的工作原理可以分为以下几个步骤：•感染阶段：病毒会通过感染病毒携带者（例如邮件附件、下载文件等）进入目标系统，并在系统中寻找可感染的目标文件；•激活阶段：病毒感染目标文件后，等待触发激活条件，例如特定的日期、时间等；•执行阶段：一旦激活条件满足，病毒会开始执行其恶意功能，例如删除文件、传播自身等。

2. 病毒的分类根据病毒的传播方式和破坏程度，病毒可以分为以下几类：•文件病毒：通过感染可执行文件或系统文件来传播，例如EXE、DLL 等；•宏病毒：通过感染办公软件中的宏来传播，例如Word、Excel等；•蠕虫病毒：通过网络传播，自我复制和传播，例如蠕虫病毒可以通过电子邮件、文件共享等途径感染目标系统；•特洛伊木马：外表看起来正常或有吸引力的程序，但在运行时会执行恶意功能；•广告病毒：通过在用户浏览器中显示广告来获取经济利益。

3. 病毒的传播途径和繁殖特性病毒的传播途径主要有以下几种：•邮件附件：病毒常通过电子邮件附件传播，用户在打开或下载附件时可能被感染；•下载文件：用户在下载可疑的文件时可能会下载并运行病毒；•移动存储设备：病毒可以通过USB闪存驱动器等移动存储设备传播；•网络共享：病毒可以通过共享文件夹在局域网内传播。

病毒的繁殖特性也不尽相同，有的病毒具有自我复制和传播的能力，有的病毒则需要依靠人工操作来传播。

计算机病毒实验报告

计算机病毒实验报告
《计算机病毒实验报告》
近年来，计算机病毒成为了网络安全的重要问题。

为了深入研究计算机病毒的特性和对网络系统的影响，我们进行了一系列的实验。

在实验中，我们选择了几种常见的计算机病毒样本，并对其进行了分析和测试。

首先，我们对这些病毒样本进行了静态分析，包括对其代码结构、功能特性和传播途径的研究。

通过反汇编和代码审查，我们成功地分析出了这些病毒的工作原理和传播方式。

我们发现，这些病毒样本大多采用了文件传播和网络传播的方式，利用漏洞和弱密码等手段感染目标系统。

其次，我们对这些病毒样本进行了动态分析，包括在受控环境下的运行实验和行为监测。

通过在虚拟机环境中模拟感染过程，我们成功地捕获了这些病毒的行为数据，并对其进行了深入分析。

我们发现，这些病毒样本在感染目标系统后，会对系统文件进行篡改、窃取用户信息或者发起网络攻击等恶意行为。

最后，我们对这些病毒样本进行了安全性测试，包括针对其传播途径和感染后的影响进行了模拟实验。

通过在受控网络环境中模拟病毒传播和感染过程，我们成功地验证了这些病毒的危害性，并提出了相应的防范措施和安全建议。

通过这些实验，我们深入了解了计算机病毒的特性和对网络系统的影响，为进一步加强网络安全提供了重要的数据支持和科学依据。

我们希望通过我们的研究成果，能够为网络安全领域的相关工作提供有益的参考和借鉴，共同维护网络安全和信息安全的大局。

计算机病毒的实验报告

计算机病毒的实验报告计算机病毒的实验报告摘要：计算机病毒是一种具有破坏性的恶意软件，能够感染计算机系统并对其进行破坏。

本实验通过模拟计算机病毒的传播过程，探究病毒的特性和防范措施。

实验结果表明，计算机病毒具有隐蔽性、传播性和破坏性，而防病毒软件和用户的安全意识是有效防范计算机病毒的重要手段。

引言：随着计算机技术的不断发展，计算机病毒作为一种具有破坏性的恶意软件，给计算机系统的安全带来了巨大威胁。

为了深入了解计算机病毒的特性和传播方式，本实验模拟了计算机病毒的传播过程，并对病毒的特性进行了研究。

实验方法：1. 实验环境：使用一台具备网络连接功能的计算机作为实验主机。

2. 实验过程：在实验主机上安装一个模拟计算机病毒的程序，并设置病毒传播路径。

3. 实验观察：观察计算机病毒在实验主机上的传播情况，记录病毒感染的时间和影响范围。

4. 实验分析：分析计算机病毒的传播速度、感染方式和破坏程度。

实验结果：通过实验观察和数据记录，我们得到了以下实验结果：1. 计算机病毒的传播速度较快：在实验主机上设置病毒传播路径后，病毒很快感染了整个计算机系统，包括操作系统和应用程序。

2. 计算机病毒具有隐蔽性：病毒在感染过程中能够隐藏自身，不易被用户察觉。

这使得病毒能够长时间存在于计算机系统中，对系统进行潜在的破坏。

3. 计算机病毒的传播方式多样：病毒可以通过网络传播，如电子邮件、恶意链接等；也可以通过可移动存储介质传播，如U盘、移动硬盘等。

这些传播方式使得病毒能够迅速传播到其他计算机系统，形成病毒的流行。

4. 计算机病毒的破坏程度较大：病毒在感染计算机系统后，可以破坏文件、删除重要数据、篡改系统设置等，给用户带来严重的损失。

实验讨论：通过以上实验结果，我们可以得出以下结论：1. 防病毒软件是有效防范计算机病毒的重要手段。

及时更新病毒库、进行定期扫描和实时监测，可以有效阻止病毒的感染和传播。

2. 用户的安全意识也是防范计算机病毒的重要因素。

高校计算机实验室病毒的防范策略

1.计算机病毒的分类1.1传统的计算机病毒按寄生对象将病毒分为引导型、文档型和混合型3种,这种病毒的特点是:当系统引导时装入内存,在计算机运行过程中,能够捕获到CPU的控制权,在得到CPU的控制权时进行病毒传播并在特定条件下发作。

攻击的主要目标是系统的.COM,.EXE等可执行文件。

染上这种病毒的可执行文件一旦运行,首先执行这段病毒程序,达到不断复制的目的。

由于它的不断繁殖,使计算机工作效率大大降低最终造成死机。

1.2网络型病毒主要分为蠕虫(Worm)木马(Trojan horse)两种形式。

(1)蠕虫(蠕虫)是通过分布式网络来扩散传播特定信息或错误,破坏网络中的信息或造成网络服务中断的病毒。

(2)木马又称特洛伊木马(Trojan horse),它原木属于一类基于远程控制的工具。

木马的运行模式属于客户/服务模式,它包括两大部分,即客户端和服务端。

2.传播途径计算机病毒的传播途径过去主要是通过拷贝文件、传送文件,运行程序等方式进行。

而目前主要的传播途径主要是网络:网络型病毒的传播方式主要有3种:电子邮件、网页、文件传输。

其中主要是通过前2种方式,特别是电子邮件。

通过电子邮件传播的病毒其病毒体一般隐藏在邮件附件中,只要执行附件,病毒就可能发作。

有些种类的邮件病毒,甚至没有附件,病毒体就隐藏在邮件中,只要打开或预览邮件,都会遇到麻烦。

近年来流行的很多病毒.如“梅莉萨”、“爱虫”等都是通过邮件传播的。

为了增加网页的文互性、可视性,通常需要在网页中加人某些Java程序或者ActiveX组件,这些程序或组件正是病毒的宿主。

如果你浏览了含病毒代码的这类网页,且浏览器未限制Jav a或Activ eX的执行,其结果就相当于执行病毒程序。

3.病毒的防范策略无论是网络型病毒还是传统型病毒其防治措施是一样的,防范策略应包括管理措施和技术措施两个方面,只有两者完美的结合,才能达到最佳的防治效果。

3.1管理措施在管理措施方面,至少应做到以下3点:(1)树立病毒防范意识,让每个操作人员都了解病毒的危害,并自觉地采用防护手段。

计算机病毒寄生方式和感染途径分类

计算机病毒寄生方式和感染途径分类计算机病毒按其寄生方式大致可分为两类:一是引导型病毒,二是文件型病毒。

按其感染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留方式又可细分。

混合型病毒集引导型和文件型病毒特性于一体。

(1)引导型病毒引导型病毒也称磁盘引导型、引导扇区型、磁盘启动型、系统型毒等。

引导型病毒就是把自己的病毒程序放在软盘的引导区以及硬盘的主引导记录区或引导扇区,当作正常的引导程序,而将真正的引导程序搬到其他位置。

这样,计算机启动时,就会把引导区的病毒程序当作正常的引导程序来运行,使寄生在磁盘引导区的静态病毒进入计算机系统,病毒变成活跃状态(或称病毒被激活),这时病毒可以随时进行感染和破坏。

此外,这种病毒通常会改写硬盘上的主引导记录区、引导区、文件分配表、文件目录区、中断向量表等。

引导型病毒几乎清一色都会常驻内存,或称作内存驻留型,差别仅仅在于内存中的位置不同。

引导型病毒按其寄生对象的不同又可分为两类:主引导区病毒和引导区病毒。

引导型病毒的感染目标都是一样的,即磁盘的引导区,所以一般比较好防治。

(2)文件型病毒文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。

文件型病毒以感染可执行文件(.BAT、.EXE、.COM、.SYS、.DLL、.OVL、.VXD 等)的病毒为主,还有一些病毒可以感染高级语言程序的源代码、开发库或编译过程中所生成的中间文件。

病毒可能隐藏在普通的数据文件中,但是这些隐藏在数据文件中的病毒不是独立存在的,必须通过隐藏在可执行文件中的病毒部分来加载这些代码。

宏病毒在某种意义上可以被看作文件型病毒,但由于其数量多、影响大,而且也有自己的特点,所以通常单独分类。

文件型病毒通常分为源码型病毒、入侵型病毒和外壳型病毒,以文件外壳型病毒最为流行。

文件型病毒按其驻留内存方式的不同可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。

(3)混合型病毒混合型病毒,也称综合型、复合型病毒,既具有操作系统型病毒的特点,又具有文件型病毒的特点,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件,这类病毒的危害性更大。

计算机病毒实验报告

计算机病毒实验报告1. 实验目的通过本次实验，我们的目的是了解计算机病毒的基本概念、特征及分类，掌握常用的杀毒软件的使用方法，并了解病毒对计算机的影响，从而增强对计算机安全的认识。

2. 实验环境本次实验我们使用的计算机环境为Windows 10操作系统，实验所用的杀毒软件为360安全卫士。

3. 实验过程3.1 计算机病毒的概念计算机病毒是指那些在计算机系统中侵入并产生破坏、破坏、传播等行为的程序和代码。

计算机病毒可分为多种类型，包括文件病毒、网络病毒、驱动器病毒等。

3.2 计算机病毒的特征计算机病毒有以下几种特征：•潜伏性：病毒在计算机系统中往往不会马上制造破坏，而是先潜伏一段时间，等待某些条件的满足后再进行攻击；•传染性：计算机病毒通过文件、网络等方式进行传播，有蔓延性；•破坏性：计算机病毒会对系统、软件或数据等进行破坏；•隐匿性：很多病毒会将自己隐藏在计算机系统的某些位置，难以被发现；•多样性：计算机病毒可以通过不断变化自身的形态等方式来规避杀软的检测。

3.3 计算机病毒的分类根据病毒的传播方式和感染对象，计算机病毒可以分为多种类型，包括文件病毒、网络病毒、木马病毒、蠕虫病毒等。

3.4 常用的杀毒软件在本次实验中，我们使用了360安全卫士这一国内常用的杀毒软件。

该软件不仅可以实现基本的病毒查杀功能，还可以对各种病毒进行拦截和清除。

3.5 实验结果通过本次实验，我们成功地了解了计算机病毒的基本概念、特征及分类，掌握了常用的杀毒软件的使用方法，并对病毒对计算机的影响有了一定的认识。

4. 实验结论计算机病毒是一种具有传染性、破坏性、隐匿性等特征的程序，对计算机系统和数据安全构成威胁。

通过学习本次实验，我们可以提高对计算机安全的认识，掌握常用的杀毒软件的使用方法，并加强对计算机安全的保护。

计算机病毒及其防范技术实验报告(例文)

计算机病毒及其防范技术实验报告(例文)
计算机病毒及其防范技术课程实验报告
项目名称：
对于特定病毒的查杀程序
姓名：
雷雨诗
日期：
2012年4月22日
一、项目简介：
针对教员给出的病毒源代码（完整版），通过对特征码的扫描的方式，编写的两个专杀程序。

这两个程序分别通过对两种特征码的扫描进行特征码的扫描，其中简化版针对固定函数名的病毒进行查杀，完整版可查杀函数名变化的变种病毒。

二、实现原理：
对于教员给出的病毒，通过分析，得出一种比较简单的查杀方法：通过对函数名的匹配，找到受感染的文件，定位main函数中插入的病毒函数调用的位置，在该函数前插入“//”将其注释掉，恢复原来函数功能。

intj=FileCode[i2].find("vir();");//匹配中毒文件
intk=FileCode[i2].find("//vir();");//匹配已查杀的文件
if(k!=-1)
{
cout
1。

东华大学计算机病毒实验一引导型病毒实验报告【范本模板】

实验一引导型病毒实验1. 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

2. 实验内容本实验需要完成的内容如下：引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

DOS运行时病毒由硬盘感染软盘的实现.通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制;阅读和分析病毒的代码。

3。

实验环境VMWare Workstation 5。

5.3MS—DOS 7。

104。

实验步骤与结果第一步：1、打开VMware Workstation,新建虚拟机，过程如下：然后点next，点NEXT, 硬盘大小可自行分配，大概1G左右就ok，一直到完成为止。

第二步：1．安装MYDOS2．启动虚拟机电源，自动从虚拟软驱进入安装过程，一路点NEXT，AGREE到为虚拟机系统生成一块fat32的硬盘区，点击，然后reboot。

3．再次进入安装引导过程，一路点NEXT，AGREE到重写MBR 选yes,而后选择安装目录C：\dos71目录。

在选择DOS commands only安装.并取消DOS add —on的安装复选项。

然后一路点NEXT，AGREE。

选择enable umb memory在下一个页面里选择load both cd/dvd 和IDE/ATAPI第三步：步骤如课本实验一1．运行虚拟机，检查目前虚拟硬盘是否含有病毒。

2．将virus。

img加入软驱，运行虚拟机：3、删除虚拟软盘，通过硬盘引导按任意键进入DOS系统4、通过命令format A：/q 快速格式化软盘。

5、软驱中加入empty。

img引导。

如下:5. 病毒代码分析i。

传染模块主要代码及传染过程说明；inc cx ;cx此时为1，为2mov ds:[si+offset reg_cx],cxmov ax，0301h ；写入一个扇区mov dx，0080h ；写入硬盘1的0面int 13h ;开始写入jb boot_dos ;不成功转到boot_dosmov cl, 21h ;准备搬移33个字mov di，01beh ;从内存高端的03beh搬移到mov si，03beh ；内存高端的01beh，此处正是病毒程序的驻留区rep movsw ；开始搬移mov ax，0301h ；准备向硬盘写入一个扇区xor bx, bxinc cx ；cx置1int 13h ；写入物理硬盘0面0道1扇区call near ptr install ；安装病毒的int 13hmov dx，0080h ；读硬盘0headint 13h ；开始读取//*** 读取正常的引导扇区,以备安装病毒的int 13h 后正常启动call near ptr install传染过程说明：先判断机器从哪里启动，如是从硬盘启动，直接安装病毒到int 13h,通过int 13h 感染软盘。

计算机病毒实验报告（范文）

计算机病毒实验报告‎计算机病毒实验报告‎‎篇一：2‎01X15张三-计算‎机病毒实验报告计算‎机与信息学院《计算‎机病毒与反病毒》实验‎报告学生姓名：‎学号：‎专业班级：‎计算机科学与技术‎09-2班 201X‎年 5 月15 日‎说明1．‎本实验报告是《计算机‎病毒与反病毒》课程成‎绩评定的重要依据，须‎认真完成。

2‎．实验报告严禁出现雷‎同，每位同学须独立完‎成。

若发现抄袭，抄袭‎者和被抄袭者本课程的‎成绩均以零分计。

‎ 3．实验报告要排‎版，格式应规范，截图‎一律采用JPG格式（‎非BMP 格式）。

为避‎免抄袭，用图像编辑软‎件在截图右下角“嵌入‎”自己的学号或姓名。

‎实验报告的格式是否规‎范、截图是否嵌入了自‎己的学号或姓名，是评‎价报告质量的考量因素‎。

4．实验报‎告须说明文字与实验截‎图相配合，若只有说明‎文字，或只有截图，则‎成绩为不及格。

‎5．只提交实验报告‎电子版。

在5月31日‎前，通过电子邮件发送‎到hfutZRB@1‎63.，若三天‎之内没有收到内容为“‎已收到”的回复确认E‎m ail，请再次发送‎或电话联系任课老师。

‎6．为了便于归档，‎实验报告rd文档的命‎名方式是“学号姓名-‎计算机病毒实验报告.‎d c”，如“201X‎15张三-计算机病毒‎实验报告.dc”。

‎注意：提交实‎验报告截止日期时间是‎实验一程序的自动‎启动一、实验‎目的（1）验‎证利用注册表特殊键值‎自动启动程序的方法；‎（2）检查和‎熟悉杀毒软件各组成部‎分的自动启动方法。

‎二、实验内容与‎要求（1）在‎注册表自动加载程序主‎键中，添加加载目标程‎序键值（自己指派任意‎程序），重启操作系统‎，检查是否能自动成功‎加载目标程序。

罗列5‎或5个以上能自动启动‎目标程序的键值，并用‎其中某一个启动自己指‎派的程序。

（‎2）检查/分析你所使‎用的计算机中杀毒软件‎系统托盘程序、底层驱‎动程序等组成部分的自‎动启动方式。

实验1引导区病毒

XI`AN TECHNOLOGICAL UNIVERSITY实验报告实验课程名称引导区病毒一．实验目的1.了解系统启动过程2.学习实模式下DEBUG命令的相关操作3.了解引导区病毒的基本原理4.学会如何修复引导区二．实验原理一．引导型病毒定义引导型病毒，也叫开机型病毒，主要感染计算机主引导扇区和引导扇区的一类计算机病毒；其中，感染主引导扇区的病毒称作MBR病毒，感染引导区的病毒称为BR病毒。

二．计算机的启动过程在计算机系统启动时，BIOS加电自检及设备初始化成功后，BIOS将启动盘的0磁道，0柱面，1扇区的主引导记录（MBR）加载到内存物理地址0000：7C00（文档中的内存地址均采用16进制表示），并检查物理地址0000：7DFE处的字是否为0xAA55（引导区有效标记），若不相等给出“No Rom BASIC”提示，然后死机，若相等执行主引导程序，主引导记录（MBR）先将自己复制到内存的其他地方以让出0：7C00处的512B的空间，然后在主分区表中搜索标志为0x80（分区已被激活，0则表示未被激活）的激活分区，如发现没有或有多个激活分区，则提示“Invalid partition table”，并停止，否则将激活分区的第一个扇区（即系统引导扇区DBR）读入内存物理地址0000：7C00，并查找物理地址0000：7DFE处的字是否等于0xAA55，若不等于，则显示“Missing Operating System”然后停止，否则继续执行操作引导程序，引导计算机进入操作系统，完成整个引导过程。

三．中断中断就是CPU暂停当前程序的执行，转而执行处理紧急事物的程序，并在该事物处理结束后能自动恢复执行原先程序的过程，在此，称引起紧急事物的事件为中断源，称处理紧急事件的程序为中断服务程序或中断管理程序。

中断的分类很多，按触发的原因，有硬中断和软中断之分。

硬中断有实际的硬件事件引起，例如，除以零、算术溢出、按下键盘键等；软中断是因程序执行了计算机的INT指令造成的，例如，INT 21H将执行21H中断，这里21H称作中断号，其中“H”表示该数据为16进制。

计算机病毒实验报告

说明1．本课程作业报告是?计算机病毒与反病毒?课程成绩评定的重要根据，须认真完成。

2．报告内容严禁出现雷同，每位同学须独立完成。

假设发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3．要排版，格式应标准，截图一律采用JPG格式〔非BMP格式〕。

为防止抄袭，用图像编辑软件在截图右下角“嵌入〞自己的学号或姓名。

实验报告的格式是否标准、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4．说明文字与实验截图相配合，假设只有说明文字，或只有截图，那么成绩为不及格。

5．只提交报告电子版。

在规定的日期内，通过电子邮件发送到[emailprotected]，假设三天之内没有收到内容为“已收到〞的回复确认Email，请再次发送或联络任课教师。

6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc〞，如“20xx12345张三-计算机病毒课程报告.doc〞。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，假设因没有及时提交实验报告，导致课程成绩为“缺考〞的，责任自负。

实验一程序的自动启动一、实验目的〔1〕验证利用注册表特殊键值自动启动程序的方法；〔2〕检查和熟悉杀毒软件各组成局部的自动启动方法。

二、实验内容与要求〔1〕在注册表自动加载程序主键中，添加加载目的程序键值〔自己指派任意程序〕，重启操作系统，检查是否能自动成功加载目的程序。

罗列5或5个以上能自动启动目的程序的键值，并用其中某一个启动自己指派的程序。

〔2〕检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成局部的自动启动方式。

三、实验环境与工具操作系统：Windows XP/Windows Vista/Windows 7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果一〕按启动文件夹的方法1、“启动〞文件夹是最常见的自启动文件夹。

2021年计算机病毒及防治实验报告

南京航空航天大学计算机病毒及防治上机试验汇报学院: 理学院专业: 信息与计算科学学号:姓名: 王晨雨讲课老师: 薛明富十二月目录试验一: 引导型病毒试验.............................. 错误!未定义书签。

试验二: Com病毒试验................................ 错误!未定义书签。

试验三: PE文件格式试验............................. 错误!未定义书签。

试验四: 32位文件型病毒试验......................... 错误!未定义书签。

试验五: 简单木马试验................................ 错误!未定义书签。

试验七: 木马病毒清除试验（选做）.................... 错误!未定义书签。

试验八: Word宏病毒试验（一）....................... 错误!未定义书签。

试验九: Word宏病毒试验（二）....................... 错误!未定义书签。

试验十: Linux脚本病毒试验（选做）.................. 错误!未定义书签。

试验十二: 基于U盘传输蠕虫病毒试验.................. 错误!未定义书签。

试验十三: 邮件型病毒试验............................ 错误!未定义书签。

试验十四: Web恶意代码试验.......................... 错误!未定义书签。

试验一: 引导型病毒试验【试验目】经过试验, 了解引导区病毒感染对象和感染特征, 关键学习引导病毒感染机制和恢复感染病毒文件方法, 提升汇编语言使用能力。

试验内容引导阶段病毒由软盘感染硬盘试验。

经过触发病毒, 观察病毒发作现象和步骤, 学习病毒感染机制: 阅读和分析病毒代码。

DOS运行时病毒由硬盘感染软盘实现。

病毒实验指导书

病毒实验指导书上海交通大学信息安全工程学院2010年10月目录1、引导区病毒2、可执行文件病毒2.1 COM病毒2.2 PE病毒3、宏病毒3.1 美丽莎宏病毒3.2 台湾No.1宏病毒4、恶意脚本4.1 网络炸弹脚本4.2万花谷脚本4.3欢乐时光脚本5、蠕虫5.1 U盘蠕虫5.2 RPC漏洞蠕虫六、木马6.1 基本木马程序6.2 BO2K木马七、恶意代码检测实验附录一：虚拟机下安装DOS一、引导区病毒1.1 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

1.2 实验原理本实验采用的引导病毒样本是一个教学版的样本，引导含有这个病毒的软盘或硬盘都将触发它。

该病毒并不会做什么破坏，被感染的软盘或硬盘都可以恢复。

1.3 预备知识本实验需要如下的预备知识：1.引导病毒的基础知识，包括引导病毒的概念，引导扇区的位置和结构等。

2.BIOS常用中断的相关知识，包括对磁盘的读写和屏幕字符的打印等。

3.汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

1.4 实验内容本实验需要完成的内容如下：1.引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

2.Dos运行时病毒由硬盘感染软盘的实现。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码。

1.5 实验环境VMWare Workstation 5.5.3MS-DOS 7.10实验素材：experiments目录下的bootvirus目录。

虚拟机：virtualmachine目录下的DOSVM目录。

1.6 实验步骤1.环境安装安装虚拟机VMWare，在虚拟机环境内安装MS-DOS 7.10环境。

安装步骤参考附录“如何在虚拟机上安装MSDOS？”如果直接下载虚拟机映像文件，则可以省去该部分。

计算机病毒的检测

8.1.3 行为监测法
这些做为监测病毒的行为特征可列举如下： 1．占用INT13H 所有的引导型病毒都攻击BOOT扇区或主引导扇区。系统启动时，当BOOT扇区或主引导扇区获得执行权时，系统就开始工作。一般引导型病毒都会占用INT 13H功能，因为其他系统功能还未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码 2．修改DOS系统数据区的内存总量病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量 3．对COM和EXE文件做写入动作病毒要感染，必须写COM和EXE文件 4．病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为
前言
检测病毒方法有：
特征代码法校验和法行为监测法软件模拟法比较法感染实验法分析法监测法软件模拟法先知扫描法实时I/O扫描
8.1.1 特征代码法
国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法特征代码法的实现步骤
8.1.2 校验和法
校验和法特点既可发现已知病毒，又可发现未知病毒不能识别病毒类，不能报出病毒名称常常误报警影响文件的运行速度对隐蔽性病毒无效
8.1.3 行为监测法
利用病毒的特有行为特性，监测病毒的方法，称行为监测法通过对病毒多年的观察、研究，人们发现病毒有一些行为，是病毒的共同行为，而且较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警
8.1.2 校验和法
计算正常文件的内容校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法

徐文锋计算机病毒实验报告

计算机与信息学院《计算机病毒与反病毒》课程作业学生姓名：徐文锋学号：20112529专业班级：计算机11-3班2014 年06 月24 日说明1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2．报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄．．．．．．．．．．．．袭者本课程的成绩均以零分．．．．．．．．．．．．计．。

3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5．只提交报告电子版。

在规定的日期内，通过电子邮件发送到hfutZRB@，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“201112345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。