东华大学计算机病毒PE病毒实验报告

病毒理论与防御技术实验报告2015年3月1日实验一：**********一、实验目的1）掌握PE文件格式。

2）了解PE病毒原理。

二、实验步骤1）阅读CVC杂志。

2）学习使用PE Explorer查看不同PE结构文件格式，如exe和dll。

3）文件型病毒演练。

a）实验测试的示例程序包由教师提供，解压后请从病毒包中取得Virus.exe拷贝在当前解压目录中即可运行病毒程序进行测试。

b）为了保持测试的一般性，我们采用的是一个常见的软件ebook;该测试包即为ebook安装目录下的所有程序。

c）测试时请依照软件提示进行，在测试中，我们发现该测试包还具有典型性特点：其中ebookcode.Exe 和 KeyMaker.exe 可以看成一组，它们在感染后能够明显的体现病毒的基本特征，故而杀毒软件Norton能够比较及时的查出是病毒程序；而ebookedit.exe 和 ebrand-it.exe 是另一类程序，它们在感染后很好地体现了病毒的隐藏的特征，在运行初期，杀毒程序很难查出其为病毒程序，只有在该程序感染其他可执行程序，在宿主程序中添加4k的节时，杀毒软件检测到该行为时才能判断是病毒程序。

三、思考题1、详细记录实验步骤、现象、问题。

实验现象：1)PE文件格式按节组织（section）->中病毒之后section number变多（多了一个IS节）中病毒之后Address of entry point程序入口点变化（调用子程序SUB_L0066D58B）2）中病毒文件中病毒文件也具有了感染其他文件的功能。

●病毒重定位：原因：病毒的生存空间就是宿主程序，而因为宿主程序的不同，所以病毒每次插入到宿主程序中的位置也不同。

那么病毒需要用到的变量的位置就无法确定。

这就是病毒首先要重定位的原因。

目的：找到基址举例：在几乎每个病毒的开头都用下面的语句:call deltadelta:pop ebp ;得到delta地址sub ebp,offset delta ;因为在其他程序中基址可能不是默认的所以需要重定位mov dword ptr [ebp+offset appBase],ebp;把扩展基址寄存器ebp中的内容(基址)存入内存appBase位置●API函数地址的获取：步骤：首先获得诸如kernel32.dll,user32.dll的基址,然后再找到真正的函数地址.2、写下你阅读CVC杂志后的读后感，你同意杂志的所表达的倾向吗，你觉得现阶段病毒肆虐和这样的倾向和认识有没有关系，为什么？CVC杂志很有意思，语言幽默，观点明确，并且总结了很多关于病毒的基础知识。

实验三+PE⽂件型病毒分析实验三 PE⽂件型病毒分析⼀、实验⽬的1.了解PE⽂件型病毒的基本原理；2.了解病毒的感染、破坏机制，认识病毒程序；3.掌握⽂件型病毒的特征和内在机制。

【注意事项】1.本病毒程序⽤于实验⽬的，⾯向实验演⽰，侧重于演⽰和说明病毒的内在原理，破坏功能有限。

在测试病毒程序前，需先关闭杀毒软件的⾃动防护功能或直接关闭杀毒软件。

2.若在个⼈电脑上实验，最好在虚拟机中运⾏。

3.测试完毕后，请注意病毒程序的清除，以免误操作破坏计算机上的其他程序。

4.请勿传播该病毒。

传播该病毒造成有⽤数据丢失、电脑故障甚⾄触犯法律等后果，由传播者负责。

⼆、实验内容压缩包中包括编译的病毒程序“PE_Virus.exe”和⼀个⽤于测试病毒的正常⽂件“test.exe”，通过运⾏病毒程序观看各步提⽰以了解PE⽂件型病毒的内在机制。

【PE_Virus病毒说明】（1）传染范围：PE_Virus.exe所在⽬录；（2）传染⽬标：可执⾏⽂件(.exe)；（3）传染过程：搜索⽬录内的可执⾏⽂件，逐个感染；（4）触发条件：运⾏PE_Virus.exe程序或被PE_Virus.exe感染的程序；（5）破坏能⼒：⽆害型，传染时减少磁盘的可⽤空间，在可执⾏⽂件上附加⼀个4K⼤⼩的节；（6）破坏⽅式：攻击⽂件，在可执⾏⽂件上附加⼀个节(4K)，修改可执⾏⽂件的⼊⼝地址；（7）特征类型：Virus.Win32.Huhk.B（360提⽰）【PE⽂件型病毒主要技术原理】（1）病毒重定位（2）获取API函数（3）搜索可感染的⽂件（4）内存映射⽂件（5）病毒感染其他⽂件（6）返回到宿主程序任务1 观察PE_Virus病毒感染test.exe⽂件的过程【提⽰】（1）⽤360等杀毒软件检测PE_Virus.exe，杀毒软件检测到该⽂件有病毒。

（2）关闭防病毒软件的⾃动防护功能，运⾏PE_Virus.exe，会出现如下提⽰：本实验为了能够⽐较直观演⽰病毒程序，让⽤户知道病毒正在做什么，故⽽有若⼲提⽰界⾯，但实际的病毒在感染其他程序前不会让⽤户感觉到病毒程序正在运⾏，往往都是隐藏运⾏，或者是寄⽣在宿主程序中。

PE病毒实验报告姓名：佟蕊学号：201224010138 班级：12计本非师学院：信息学院一、PE病毒种类：pe文件是windows下的一个32位文件格式，在windows系统中广泛存在，该文件格式是病毒喜欢感染的类型。

win32.tenga该病毒式一个win32pe感染型病毒，可以感染普通pe exe文件并把自己的代码加到exe文件尾部。

win16.hllp.hiro.10240该病毒式利用pascal编写的病毒，不会驻内存中，包含“hiroshima end 000 v1.2000:0000”字符串。

该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中win16.hllp.hiro.10240该病毒式利用pascal编写的病毒，不会驻内存中，包含“hiroshima end 000 v1.2000:0000”字符串。

该病毒在windows目录中寻找exe文件并将自身复制到开始文件夹中2001 tokugawa此病毒查找类似下的文件，但它对反病毒程序文件不起作用。

win32.sankey该病毒是一个非常危险的win32病毒，它会在当前目录和被破坏的文件中搜索exe文件并感染它们，当感染了一个exe文件后，病毒会在文件中创建一个名为“kaze/fat”的片段。

二、PE病毒的删除以及运作原理：病毒在安全模式下删除：病毒是将可执行文件的代码中程序入口地址，改为病毒的程序入口，这样就会导致用户在运行的时候执行病毒文件：三、总结本次实验让我了解了PE病毒的种类以及运行原理。

更加重要的是知道了病毒带来的危害。

这样这以后的工作生活中就尽量避免下载到病毒，即使下载到病毒也会在安全模式下去删除它。

计算机病毒实验报告姓名：学号:老师：日期：一．PE文件感染实验一：参照病毒感染PE文件的7个步骤，记录病毒是如何感染文件（文字和截屏形式）病毒感染文件过程(以感染文件KeyMaker.exe 为例)：重定位，获得所有API地址：通过软件Stud_PE可查看可执行文件KeyMaker.exe的结构可查看文件内容：1．判断目标文件开始的两个字节是否为“MZ”：2．判断PE文件标记“PE”：3．判断感染标记，如果已被感染过则跳出继续执行宿主程序，否则继续：4．读取IMAGE_FILE_HEADER的NumberOfSections域，获得Data Directory（数据目录）的个数，（每个数据目录信息占8个字节）：5．得到节表起始位置。

(数据目录的偏移地址+数据目录占用的字节数=节表起始位置)。

6．得到节表的末尾偏移（紧接其后用于写入一个新的病毒节信息）节表起始位置+节的个数*(每个节表占用的字节数28H)=节表的末尾偏移。

7．开始写入节表,感染文件：二：在掌握Stud_PE工具的基础上，比较文件感染前后有哪些变化。

感染前：感染后：由上两图可以看出，感染前后有4处发生了变化：1：PE文件头中入口点：感染病毒后KeyMaker.exe程序的入口点变成了病毒文件的入口点。

2：PointerToRawData域值，即该文件的偏移量发生了变化；3：imag的大小发生了变化；4：Number of sections的数量发生了变化。

由.exe文件感染前后变化可知，PE病毒感染过程即在文件中添加一个新节，把病毒代码和病毒执行后返回宿主程序的代码写入新添加的节中，同时修改PE文件头中入口点（AddressOfEntryPoint），使其指向新添加的病毒代码入口。

程序染毒后运行结果：1：首先执行病毒程序：2：病毒代码执行完后执行宿主程序：三：针对病毒源代码，指出与感染PE文件步骤相对应的程序段1．判断目标文件开始的两个字节是否为“MZ”。

计算机病毒实验报告说明1.本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2.报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3.要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4.说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5.只提交报告电子版。

在规定的日期内，通过电子邮件发送到[emailprotected]，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6.为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“20xx12345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。

三、实验环境与工具操作系统：Windows XP/Windows Vista/Windows 7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果一）按启动文件夹的方法1、“启动”文件夹是最常见的自启动文件夹。

计算机病毒实验报告计算机病毒实验报告引言：计算机病毒是一种恶意软件，可以对计算机系统造成破坏和损失。

为了更好地了解计算机病毒的特点和对计算机系统的影响，我们进行了一系列的实验。

本报告将详细介绍我们的实验过程、结果和结论。

实验一：病毒传播方式我们首先研究了计算机病毒的传播方式。

通过在一个封闭的网络环境中模拟实验，我们发现计算机病毒主要通过电子邮件、可移动存储设备和互联网下载等方式进行传播。

这些传播方式都依赖于用户的不慎操作或者系统的漏洞。

实验二：病毒对系统性能的影响我们接着研究了计算机病毒对系统性能的影响。

在一个实验环境中，我们分别在未感染和感染病毒的计算机上进行了性能测试。

结果显示，感染病毒的计算机在运行速度、响应时间和网络连接方面都明显下降。

这是因为计算机病毒会占用系统资源、干扰正常的进程和网络通信。

实验三：病毒防护措施为了更好地保护计算机系统免受病毒攻击，我们进行了一系列的病毒防护措施实验。

我们测试了不同的杀毒软件和防火墙，并对其进行了性能和效果的评估。

结果显示，合适的杀毒软件和防火墙可以有效地检测和阻止病毒的传播，保护计算机系统的安全。

实验四：病毒对个人隐私的威胁除了对系统性能的影响，计算机病毒还可能对个人隐私造成威胁。

我们进行了一项实验，模拟了一个病毒窃取个人信息的场景。

通过在一台计算机中安装了一个窃取密码的病毒，我们发现该病毒能够成功获取用户的登录信息和敏感数据。

这个实验结果提醒我们，保护个人隐私是非常重要的，我们应该谨慎对待未知来源的文件和链接。

结论：通过一系列的实验，我们对计算机病毒有了更深入的了解。

计算机病毒的传播方式多种多样，主要依赖于用户的不慎操作和系统的漏洞。

感染病毒会导致计算机系统性能下降，并可能对个人隐私造成威胁。

为了保护计算机系统的安全，我们应该采取合适的病毒防护措施，如安装杀毒软件和防火墙，并且要时刻保持警惕，不轻易打开未知来源的文件和链接。

总结：计算机病毒是现代计算机系统中的一大威胁，对系统性能和个人隐私都有着巨大的影响。

计算机病毒实验报告Record the situation and lessons learned, find out the existing problems andform future countermeasures.姓名：___________________单位：___________________时间：___________________编号：FS-DY-20614计算机病毒实验报告说明1．本课程作业报告是《计算机病毒与反病毒》课程成绩评定的重要依据，须认真完成。

2．报告内容严禁出现雷同，每位同学须独立完成。

若发现抄袭，抄袭者和被抄袭者本课程的成绩均以零分计。

3．要排版，格式应规范，截图一律采用JPG格式（非BMP格式）。

为避免抄袭，用图像编辑软件在截图右下角“嵌入”自己的学号或姓名。

实验报告的格式是否规范、截图是否嵌入了自己的学号或姓名，是评价报告质量的考量因素。

4．说明文字与实验截图相配合，若只有说明文字，或只有截图，则成绩为不及格。

5．只提交报告电子版。

在规定的日期内，通过电子邮件发送到[emailprotected]，若三天之内没有收到内容为“已收到”的回复确认Email，请再次发送或电话联系任课老师。

6．为了便于归档，实验报告Word文档的命名方式是“学号姓名-计算机病毒实验报告.doc”，如“20xx12345张三-计算机病毒课程报告.doc”。

注意：提交报告截止日期以QQ群通知时间为准(一般在考试周下周周三)，若因没有及时提交实验报告，导致课程成绩为“缺考”的，责任自负。

实验一程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。

二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。

罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。

计算机病毒实验报告
《计算机病毒实验报告》
近年来，计算机病毒成为了网络安全的重要问题。

为了深入研究计算机病毒的特性和对网络系统的影响，我们进行了一系列的实验。

在实验中，我们选择了几种常见的计算机病毒样本，并对其进行了分析和测试。

首先，我们对这些病毒样本进行了静态分析，包括对其代码结构、功能特性和传播途径的研究。

通过反汇编和代码审查，我们成功地分析出了这些病毒的工作原理和传播方式。

我们发现，这些病毒样本大多采用了文件传播和网络传播的方式，利用漏洞和弱密码等手段感染目标系统。

其次，我们对这些病毒样本进行了动态分析，包括在受控环境下的运行实验和行为监测。

通过在虚拟机环境中模拟感染过程，我们成功地捕获了这些病毒的行为数据，并对其进行了深入分析。

我们发现，这些病毒样本在感染目标系统后，会对系统文件进行篡改、窃取用户信息或者发起网络攻击等恶意行为。

最后，我们对这些病毒样本进行了安全性测试，包括针对其传播途径和感染后的影响进行了模拟实验。

通过在受控网络环境中模拟病毒传播和感染过程，我们成功地验证了这些病毒的危害性，并提出了相应的防范措施和安全建议。

通过这些实验，我们深入了解了计算机病毒的特性和对网络系统的影响，为进一步加强网络安全提供了重要的数据支持和科学依据。

我们希望通过我们的研究成果，能够为网络安全领域的相关工作提供有益的参考和借鉴，共同维护网络安全和信息安全的大局。

计算机病毒实验报告实验2.2 PE病毒2.2 PE病毒2.2.1 实验目的通过实验，了解PE病毒的感染对象和学习文件感染PE病毒前后的特征变化以重点学习PE 病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

2.2.2 实验原理本实验采用的PE病毒样本是一个教学版的样本，执行病毒样本或者执行染毒文件都将触发此病毒。

一旦触发，病毒感染其所在文件夹内的所有pe文件。

该样本不具有破坏模块，染毒文件可恢复。

2.2.3 实验预备知识点本实验需要如下的预备知识：PE病毒的基础知识，包括PE病毒的概念，PE文件的概念和文件格式。

相关的操作系统知识，包括内存分页机制，变量的重定位机制，动态连接库的概念和调用方法和用于文件操作的API函数。

汇编语言基础，能独立阅读和分析汇编代码，掌握常用的汇编指令。

2.2.4 实验内容本实验需要完成的内容如下：PE病毒感染实验。

通过触发病毒，观察病毒发作的现象和步骤学习病毒的感染机制；阅读和分析病毒的代码，并完成系统附带的习题。

PE病毒的杀毒实验。

使用实验系统提供的杀毒工具学习恢复染毒文件的方法；阅读和分析杀毒程序代码，并完成习题。

2.2.4 实验环境实验小组机器要求有WEB浏览器IE。

操作系统为windows2000。

2.2.5 实验步骤打开“信息安全综合实验系统” 在右上角选择“实验导航”双击“病毒教学实验系统”进入病毒教学实验系统登录面界，输入用户名和密码。

（注意：实验前先关闭所有杀毒软件。

）1.病毒感染实验进入病毒防护教学实验后，点击左侧的“PE病毒”，然后在点击下面的“病毒感染实验”，其右侧为“病毒感染实验”的界面，如图2-2-1，及2-2-2所示。

认真阅读IE页面列出的知识要点，包括PE病毒概念，著名的病毒介绍，PE文件格式和PE病毒感染机制。

2-2-1根据页面首行提示下载实验软件包到本地主机任意路径，解压软件包。

进入“bin”目录点击“PE病毒实验.exe”，选择“PE病毒感染实验”，打开感染实验的界面。

计算机病毒和入侵检测实验报告三首先使用“快照X”恢复Linux系统环境。

一．查看连接时间日志连接时间日志是保持用户登录进入和退出时间的文件。

1. 查看系统已登录用户（使用工具查看/var/run/utmp日志）（1）进入实验平台，单击工具栏“控制台”按钮进入工作目录。

输入命令：w，查看系统已登录用户。

显示信息如图4-4-1所示。

显示信息第一行是汇总信息，包括系统当前时间、系统启动到现在的时间、登录用户数目、系统在最近1秒、5秒和15秒的平均负载。

其后每行显示的是每个用户的各项数据，其中包括：登录帐号、登录终端名称，远程主机名称，登录时间、空闲时间，JCPU、PCPU、当前正在运行的命令行。

其中JCPU时间指的是和该终端(tty)连接的所有进程占用的时间。

这个时间里并不包括过去的后台作业时间，但却包括当前正在运行的后台作业所占用的时间。

而PCPU时间则是指当前进程所占用的时间。

（2）同组主机telnet登录本机（用户名：guest；口令：guestpass），本机再次通过w命令查看系统已登录用户。

（3）与“w”命令功能相似的命令还有“who”、“users”命令，请在控制台中运行这两个命令并查看运行结果与“w”命令的异同。

第一题的三个小题的实验结果截图2. 查看登录用户历史（使用工具查看/var/log/wtmp日志）（1）在控制台中输入命令：last，查看近期用户或终端的登录情况。

显示信息如图4-4-2所示。

图4-4-2 登录用户历史显示信息中包括用户登录时间。

如果关心某一个用户的登录历史，可以在“last”命令后面加上用户名参数，上例中使用“last root”命令就会得到关于用户root的登录信息。

（2）在实验中我们会发现，last命令会列出好多用户登录历史，这样不利于我们查找，有时候我们只希望打印出最近的用户登录历史，选项n用来打印出最近的n个用户的登录历史，在控制台输入命令：last -n 5，能够得到最近5个用户的登录历史。

计算机病毒的实验报告
《计算机病毒的实验报告》
近年来，计算机病毒的威胁日益增加，给人们的生活和工作带来了不小的困扰。

为了更好地了解和应对计算机病毒的威胁，我们进行了一系列实验，以便更好
地理解和研究计算机病毒的特性和行为。

首先，我们在一台未安装任何杀毒软件的计算机上进行了实验。

我们通过下载
一些来自不明来源的文件和软件，以模拟用户在日常使用计算机时可能遇到的
情况。

结果显示，在没有杀毒软件的情况下，计算机很快就被感染了，并且出
现了各种各样的问题，如程序崩溃、文件丢失等。

接着，我们安装了一款知名的杀毒软件，并再次进行了实验。

这次，我们下载
了相同的文件和软件，并观察了杀毒软件的反应。

结果显示，杀毒软件能够及
时发现并清除潜在的病毒，保护了计算机的安全。

通过这些实验，我们得出了一些结论。

首先，计算机病毒的威胁不可小觑，用
户在日常使用计算机时应当保持警惕，避免下载和安装未知来源的文件和软件。

其次，安装一款可靠的杀毒软件是保护计算机安全的重要手段，能够及时发现
和清除潜在的病毒，保护计算机的安全。

在未来，我们将继续进行相关实验和研究，以更好地了解和应对计算机病毒的
威胁，为用户提供更好的安全保障。

希望通过我们的努力，能够减少计算机病
毒给人们带来的困扰，保护用户的计算机安全。

计算机病毒实验报告一、实验目的（1）掌握常见几种病毒的基本原理（2）掌握清除病毒的方法（3）学会使用几种常见病毒进行基本编程的技术二、实验内容分别用PE病毒，欢乐时光脚本病毒，梅丽莎宏病毒，台湾宏病毒，万花谷脚本病毒，网络炸弹脚本病毒进行感染和病毒清除实验。

三、实验环境信息安全综合实验系统操作系统：WINDOWS2000JDK版本：Java Standard Edition 1.4.0以上数据库：Mysql开发语言：JSPWeb服务器:TomacatOffice版本:MS office2000/2003四、实验结果1、网络炸弹（1）实验原理网页恶意代码确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。

这种病毒代码镶嵌技术的原理并不复杂，所以会被很多怀不良企图者利用，使非常多的用户遭受损失。

“网络炸弹”是一种网页恶意代码，可以无限次得弹出固定窗口来达到侵占客户机系统资源，最终导致客户端死机的结果。

（2）结果演示1、修改IE的安全级别图1 修改IE安全级别2、修改注册表的安全设置图2 修改IE安全设置3、网络炸弹感染图3 网络炸弹感染4、网络炸弹源码图4 网络炸弹源码2、万花谷脚本病毒（1）实验原理JS.On888 脚本病毒(俗称“万花谷”病毒)实际上是一个含有恶意脚本代码的网页文件，其脚本代码具有恶意破坏能力，但并不含有传播性。

实验病毒为模仿它所写成的类“万花谷”病毒,减轻了病毒危害。

（2）结果演示1、修改IE的安全级别2、万花谷病毒感染图5 万花谷病毒感染-1图6 万花谷病毒感染-2图7 万花谷病毒感染-3图8 万花谷病毒源码3、欢乐时光脚本病毒（1）实验原理病毒程序嵌入在实验系统页面的脚本中，但受到界面脚本的控制与调用，实现通过用户的界面操作来触发病毒的感染，加解密和杀毒脚本，并有不同的操作引导三项实验的不同结果。

（2）结果演示1、修改IE安全级别2、病毒感染图9 欢乐时光病毒感染4、梅丽莎宏病毒（1）实验原理美丽莎宏病毒实际上是一个含有恶意代码的Word自动宏，其代码具有恶意传播繁殖能力，能够造成网络邮件风暴，造成邮件服务器瘫痪。

计算机病毒实验报告姓名：学号:老师：日期：一. 实验目的Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

二. 实验内容1. macro virus中的内容2. 信安实验平台--->计算机病毒篇 ---->计算机宏病毒3. 结合杀毒软件如诺顿、卡巴斯基等，观察病毒查杀现象三. 实验环境1. macro virus硬件设备：局域网，终端PC机。

系统软件：Windows系列操作系统支撑软件：Word 2003软件设置：关闭杀毒软；打开Word 2003，在工具宏安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visual basic项目的访问.实验环境配置如下图所示：受感染终端受感染Word文档被感染终端2.计算机宏病毒硬件设备：部署 WIN2003 系统的PC 机一台软件工具：Office word2007四．实验步骤及截图1.自我复制，感染word公用模板和当前文档打开一个word文档，然后按Alt+F11调用宏编写窗口（工具宏 Visual Basic 宏编辑器）,在左侧的project—>Microsoft Word对象 ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

实验五（选做一）计算机病毒同组实验者实验日期成绩练习一PE病毒实验目的 1.了解文件型病毒的原理；2.了解PE文件结构；3.了解文件型病毒的发现方法；4.了解病毒专杀工具的基本原理实验人数每组2人系统环境 Windows网络环境交换网络结构实验工具 LaborDayVirus、OllyDBG、PE Explorer、UltraEdit-32实验类型验证型一、实验原理详见“信息安全实验平台”，“实验26”，“练习一”。

二、实验步骤本练习由单人为一组进行。

首先使用“快照X”恢复Windows系统环境。

一．验证利用OllyDBG修改病毒感染程序（1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。

新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。

点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。

将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。

（2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。

由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示，如图1所示。

图1 入口点警告提示单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0x00403200）上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键或选择“插件”菜单项，选择菜单中的用ollyDump脱壳调试进程，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。

2021计算机病毒实验报告实验报告：2021计算机病毒实验报告一、实验目的本实验旨在通过分析计算机病毒的基本特性、传播途径和危害，提高对计算机病毒的防范意识和应对能力，为后续的计算机安全学习打下基础。

二、实验原理计算机病毒是一种恶意软件，它能够复制自身并且在计算机之间传播，对计算机系统造成潜在的危害。

计算机病毒通常隐藏在看似无害的程序或数据文件中，一旦被激活，会破坏数据、泄露信息、使系统崩溃等。

三、实验环境与工具1.实验操作系统：Windows 102.实验工具：U盘、网络连接、电子邮件、即时通讯软件等四、实验步骤与内容1.准备阶段在实验开始前，我们需要了解不同类型的计算机病毒，如蠕虫病毒、木马病毒、宏病毒等。

这些病毒有着不同的传播途径和危害程度。

同时，还需了解计算机病毒的命名规则和文件后缀名，以便在遇到时快速识别。

2.传播阶段首先，通过U盘将计算机病毒复制到实验计算机中。

常见的病毒文件后缀名包括.exe.bat.pif等。

接着，通过网络连接和电子邮件等方式，将病毒文件发送给其他同学。

要求对方在不知情的情况下打开并运行这些文件，观察并记录实验结果。

3.分析阶段通过分析被感染的计算机系统，我们发现计算机病毒的存在会导致系统运行缓慢、异常重启等问题。

有些病毒还会弹出虚假警告信息，欺骗用户点击危险链接或者下载病毒文件。

此外，病毒还会通过修改注册表、隐藏进程等方式来躲避检测和删除。

4.清除阶段在确定感染病毒的计算机后，我们使用杀毒软件进行全盘扫描和清除操作。

同时，针对不同类型的病毒，需要采取不同的清除方式。

如蠕虫病毒可使用防病毒软件进行拦截和清除，木马病毒则可通过禁用启动项和服务等方法清除。

若清除失败，可能需要手动删除受感染的文件或目录。

五、实验结果与数据分析通过本次实验，我们成功地激活并传播了计算机病毒。

在分析过程中，我们发现计算机病毒会对计算机系统造成严重的危害，如数据损坏、信息泄露、系统崩溃等。

其中，通过网络传播的病毒速度更快、范围更广。

实验一引导型病毒实验1. 实验目的通过实验，了解引导区病毒的感染对象和感染特征，重点学习引导病毒的感染机制和恢复感染染毒文件的方法，提高汇编语言的使用能力。

2. 实验内容本实验需要完成的内容如下：引导阶段病毒由软盘感染硬盘实验。

通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制；阅读和分析病毒的代码。

DOS运行时病毒由硬盘感染软盘的实现.通过触发病毒，观察病毒发作的现象和步骤，学习病毒的感染机制;阅读和分析病毒的代码。

3。

实验环境VMWare Workstation 5。

5.3MS—DOS 7。

104。

实验步骤与结果第一步：1、打开VMware Workstation,新建虚拟机，过程如下：然后点next，点NEXT, 硬盘大小可自行分配，大概1G左右就ok，一直到完成为止。

第二步：1．安装MYDOS2．启动虚拟机电源，自动从虚拟软驱进入安装过程，一路点NEXT，AGREE到为虚拟机系统生成一块fat32的硬盘区，点击，然后reboot。

3．再次进入安装引导过程，一路点NEXT，AGREE到重写MBR 选yes,而后选择安装目录C：\dos71目录。

在选择DOS commands only安装.并取消DOS add —on的安装复选项。

然后一路点NEXT，AGREE。

选择enable umb memory在下一个页面里选择load both cd/dvd 和IDE/ATAPI第三步：步骤如课本实验一1．运行虚拟机，检查目前虚拟硬盘是否含有病毒。

2．将virus。

img加入软驱，运行虚拟机：3、删除虚拟软盘，通过硬盘引导按任意键进入DOS系统4、通过命令format A：/q 快速格式化软盘。

5、软驱中加入empty。

img引导。

如下:5. 病毒代码分析i。

传染模块主要代码及传染过程说明；inc cx ;cx此时为1，为2mov ds:[si+offset reg_cx],cxmov ax，0301h ；写入一个扇区mov dx，0080h ；写入硬盘1的0面int 13h ;开始写入jb boot_dos ;不成功转到boot_dosmov cl, 21h ;准备搬移33个字mov di，01beh ;从内存高端的03beh搬移到mov si，03beh ；内存高端的01beh，此处正是病毒程序的驻留区rep movsw ；开始搬移mov ax，0301h ；准备向硬盘写入一个扇区xor bx, bxinc cx ；cx置1int 13h ；写入物理硬盘0面0道1扇区call near ptr install ；安装病毒的int 13hmov dx，0080h ；读硬盘0headint 13h ；开始读取//*** 读取正常的引导扇区,以备安装病毒的int 13h 后正常启动call near ptr install传染过程说明：先判断机器从哪里启动，如是从硬盘启动，直接安装病毒到int 13h,通过int 13h 感染软盘。

1)age内存中整个age病毒节经过内存节对齐后的大小。

2)写入感染标记后面例子中是放在PE头中。

3)写入病毒代码到新添加的节中：ECX =病毒长度；ESI =病毒代码位置并不一定等于病毒执行代码开始位置；EDI=病毒节写入位置后面例子是在内存映射文件中的相应位置。

4)将当前文件位置设为文件末尾。

PE型病毒实验【实验步骤】启动Windows实验台，进入Windows2021系统；双击桌面上的“病毒实验〞图标，进入病毒实验界面。

在界面上选择“PE 病毒实验〞，进入其实施面板，如下图。

图实验进行前，要先点击“初始化病毒工具〞按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具〞按钮，对工具重新进行初始化，以便实验顺利进行。

一、H OST程序分析(1)点击面板中“PE文件工具|浏览|〞，如下图。

(2)图点击“节表〞，可查看节信息，如下图。

(3)图点击面板中的“host程序〞，运行如下图。

(4)图点击面板中的“添加新节〞，便是用感染host程序，然后点击面板中的“host程序〞，查看感染后的运行结果。

二、感染过程(1)点击面板中的“添加新节源码〞，可看到win32汇编编写的病毒源码，如下图。

(2)图点击面板中的“添加新节〞，便是用感染host程序，出现如下图的提示；然后点击面板中的“host程序〞，查看感染后的运行结果。

(3)图点击确定，进入正常host程序，如下图。

三、图感染前后比照及修改(1)点击面板中“PE文件工具|浏览|〞，如下图。

(2)图点击“节表〞，可查看节信息，如下图。

(3)图几个关键值的比照，如图和图所示。

(4)图图简单修改数值，以到达原先正常运行效果，如下图设置相应的值。

图修改入口点为原先000038FF，然后点击应用更改，成功修改完成；关闭p。

然后点击面板中的“host程序〞结果正常运行。

计算机病毒实验报告‎计算机病毒实验报告‎‎篇一：2‎01X15张三-计算‎机病毒实验报告计算‎机与信息学院《计算‎机病毒与反病毒》实验‎报告学生姓名：‎学号：‎专业班级：‎计算机科学与技术‎09-2班 201X‎年 5 月15 日‎说明1．‎本实验报告是《计算机‎病毒与反病毒》课程成‎绩评定的重要依据，须‎认真完成。

2‎．实验报告严禁出现雷‎同，每位同学须独立完‎成。

若发现抄袭，抄袭‎者和被抄袭者本课程的‎成绩均以零分计。

‎ 3．实验报告要排‎版，格式应规范，截图‎一律采用JPG格式（‎非BMP 格式）。

为避‎免抄袭，用图像编辑软‎件在截图右下角“嵌入‎”自己的学号或姓名。

‎实验报告的格式是否规‎范、截图是否嵌入了自‎己的学号或姓名，是评‎价报告质量的考量因素‎。

4．实验报‎告须说明文字与实验截‎图相配合，若只有说明‎文字，或只有截图，则‎成绩为不及格。

‎5．只提交实验报告‎电子版。

在5月31日‎前，通过电子邮件发送‎到hfutZRB@1‎63.，若三天‎之内没有收到内容为“‎已收到”的回复确认E‎m ail，请再次发送‎或电话联系任课老师。

‎6．为了便于归档，‎实验报告rd文档的命‎名方式是“学号姓名-‎计算机病毒实验报告.‎d c”，如“201X‎15张三-计算机病毒‎实验报告.dc”。

‎注意：提交实‎验报告截止日期时间是‎实验一程序的自动‎启动一、实验‎目的（1）验‎证利用注册表特殊键值‎自动启动程序的方法；‎（2）检查和‎熟悉杀毒软件各组成部‎分的自动启动方法。

‎二、实验内容与‎要求（1）在‎注册表自动加载程序主‎键中，添加加载目标程‎序键值（自己指派任意‎程序），重启操作系统‎，检查是否能自动成功‎加载目标程序。

罗列5‎或5个以上能自动启动‎目标程序的键值，并用‎其中某一个启动自己指‎派的程序。

（‎2）检查/分析你所使‎用的计算机中杀毒软件‎系统托盘程序、底层驱‎动程序等组成部分的自‎动启动方式。

计算机病毒实验报告姓名：学号:老师：日期：实验二一、实验目的1、掌握COM病毒的传播原理。

2、掌握MASM611编译工具的使用。

二、实验内容1、安装MS-DOS 7.10环境。

虚拟机安装该环境亦可，步骤在此不再赘述。

2、在MS-DOS C:\MASM目录下安装MASM611，然后将binr目录下的link.exe复制到bin目录下。

3、在C:\MASM\Bin目录下建立del.txt文件，并且将“”和病毒代码2“virus.asm”复制到此目录下。

4、执行“”观察结果。

5、编译并连接“virus.asm”生成“virus.exe”，执行此exe文件以感染“”文件并且自动删除del.txt，而后执行“”可以发现感染后的结果。

三、实验环境MS-DOS 7.10MASM611四. 实验步骤与结果1、安装软盘和光盘镜像文件软盘：病毒代码_软盘.IMA光盘：MASM611S.ISO2. 在C：盘根目录下建立shiyan2目录，将软盘上的内容copy到该目录下。

3、.安装汇编编译环境运行光盘上的安装程序setup, 将汇编编译环境安装到C:\masm611目录下。

设置路径path=%path%;c:\masm611\bin;c:\masm611\binr。

因为是拷贝来的，文件大小与文件一样。

创建del.txt文件。

在C：shiyan2目录下编译、连接生成病毒程序virus.exe。

感染病毒。

虚拟机死机。

Reset重启虚拟机。

发现已被严重感染。

且感染后变得过大，无法读出其中内容。

而且del.txt文件已被删除。

五. 病毒代码分析仔细分析病毒代码virus.asm, 结合实验完成以下内容：i. 传染模块主要代码及传染过程说明；pop si ;得到当前地址IP->SImov bp,si ;保存当前地址push simov ah,9 ;(DS:DX)=指向字符串首址(字符串以"$"结尾)。