实验目的:(1)了解文件型病毒制造基本原理;
(2)了解病毒的感染、破坏机制、进一步认识病毒程序;
(3)掌握文件型病毒的特征和内在机制;
实验环境:Win2000\Win9X\WinNT\WinXP
实验内容:用PE分析器对比分析文件感染病毒后的变化
病毒引导说明:
文件型病毒,没有引导部分演示
病毒传染说明:
传染范围:Virus.exe所在目录
传染目标:可执行文件(.exe)
传染过程:搜索目录内的可执行文件,逐个感染
病毒触发说明:
触发条件:运行Virus.exe程序或被Virus.exe感染的程序
病毒破坏说明:
破坏能力:无害型 传染时减少磁盘的可用空间,在可执行文件上附加一个节(4K)
破坏方式:攻击文件 在可执行文件上附加一个节(4K),修改可执行文件的入口地址
破坏范围:Virus.exe所在目录
病毒查杀说明:
病毒危害等级:低,属于无害型病毒
病毒特征类型:Bloodhound.W32.1(Norton AntiVirus检测结果,这是Symantec软件来临时指代新病毒的文件)
病毒查杀方法:删除所有被感染的文件
实验步骤:
当防病毒程序如 Norton AntiVirus(注:此处的测试应以当前测试机器上安装杀毒软件为准,本示例运行时机器上安装的只有Norton AntiVirus,故以此为参照)自动防护功能打开 时,鼠标光标位于病毒程序上时,会看到如下的图例:
图解说明:注解0-1表示Norton AntiVirus的自动防护功能打开着;注解0-2就是防病毒软件在用户鼠标置于图例0中注解0-3处的Virus.exe程序上时的报警提示。
演示说明:作为自己开发的病毒程序,为了能够更好的演示病毒的特征,在开发过程中我们没有采用病毒的保护机制,故而防病毒软件根据病毒程序的特征即可给出该程序为病毒程序的报警提示。
3、关闭防病毒软件的自动防护功能,点击病毒程序Virus.exe,运行该程序,参见下图:
图解说明:注解1-1表示Norton AntiVirus的自动防护功能被关闭;注解1-2为病毒程序运行主界面,本实验为了能够比较直观演示病毒程序,让用户知道正在运行某个程序,故而有此主界面;但实际的病毒在感染其他程序前不会让用户感觉到病毒程序正在运行的,往往都是隐藏运行,或者是寄生在宿主程序中,这方面可参照病毒的引导机制的介绍。
演示说明:详见备注
4、提示用户是否观看感染过程,如下图:
图解说明:注解2-1提示用户是否观看病毒的感染过程,选择“是”观看感染过程,选择“否”运行原程序,由于该病毒程序不具有其他功能,所以选“否”时就直接关闭程序。
演示说明:该文件型病毒侧重于病毒感染过程的演示,所以在感染部分的提示比较详细。
5、开始感染提示,如下图
图解说明:注解3-1提示用户病毒程序开始感染其他程序
演示说明:无
6、提示病毒感染范围,如下图:
图解说明:注解4-1提示用户病毒程序感染目标是病毒程序所在目录里的程序。