变形恶意代码实验

《变形恶意代码实验》报告
学院：计算机学院
日期： 2016年 6 月 6 日
目录
1. 实验目的 (2)
2. 实验过程 (2)
3. 实现结果 (5)
4. 遇到的问题及感想收获 (6)
1. 实验目的
理解变形的原理，学会实现方法。

2. 实验过程
●任意编写一个程序，用VC或者masm32都可以
●用OD打开该EXE程序，改变开始部分的代码如下：首先，在exe文件
寻找空白区（一段00代码），可用C32查找该空白区域，用lord PE变
换该空白区域在内存区的起始VA。

假设空白区VA为0x00402000
编写指令实现对EXE的加密，假设原始EXE文件大小30字节，那么就对这30字节按字节做异或操作。

假设原始exe开始字节地址为0x00400100
Mov eax，0x33333333；（密码）
Mov edx，0x00401000
Mov ecx，30；10进制，30次
Xor[edx]，eax；加密过程
Inc edx
Loop S1；事实上在OD上没有S1这个值的，直接敲相应的地址才对Jmp00401000
在原EXE文件的结尾相邻处，添加指令 jmp 0x00401cc3
最后，利用LordPE修改文件的入口点为0x00401cc3
3. 实现结果
程序已经不能正常运行。

4. 遇到的问题及感想收获
本次实验，我通过仔细阅读实验指导书明确了实验的原理和各个过程，也去各个网站下载到了所需要的实验工具，在进行实验过程中，我遇到了很多困难，通过网上查询知识，以及询问同学，重复了多次才成功的完成的实验。

通过本次实验，我积累了OD调试程序的经验，明确对病毒的认识，提高了理论水平和动手能力。