病毒分析实验
病毒分析实验
大灬白
没有绝对安全的系统
展开
-
实验七——DLL劫持病毒的分析和清除
【实验名称】 DLL劫持病毒的分析和清除 【实验目的】掌握DLL劫持的原理了解DLL劫持攻击的防御办法【实验原理】Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录中搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表中的键值决定,注册表路径如下:HKLM\System\CurrentControlSet\Control\Session Manager,中的SafeDllSearchMode键。SafeDllSearchMode=1原创 2020-09-26 22:33:20 · 8016 阅读 · 0 评论 -
实验六——PE病毒分析
【实验名称】 PE病毒分析 【实验目的】1.属性PE文件结构2.熟悉PE编辑查看工具,详细了解PE文件格式3.掌握文件型病毒的发现方法及PE病毒的染毒原理【实验原理】1.PE文件常用字段解释:a)文件偏移地址(FileOffset):PE文件存储在磁盘上时,各数据相对文件初始地址的偏移量。即,UltraEdit打开文件所显示的地址。.text段第一个数据的文件偏移地址是:0x400b)虚拟地址(Virtual Address,VA):PE文件载入内存后,各数据的地址。原创 2020-09-26 22:11:18 · 11787 阅读 · 1 评论 -
实验五——手工编写PE文件
【实验名称】 手工编写PE文件 【实验目的】1.了解PE文件的概念、结构2.熟悉PE编辑查看工具,详细了解PE文件格式3.重点分析PE文件文件头、引入表、引出表,以及资源表【实验原理】1.PE文件概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)2.PE文件结构3.PE文件各部分描述MS-DOS原创 2020-09-26 21:36:48 · 8292 阅读 · 2 评论 -
实验四-VBScript脚本病毒分析与清除
【实验名称】 VBScript脚本病毒分析与清除 【实验目的】1.了解VBScript如何实现文件、进程及注册表操作2.了解VBScritp病毒的工作原理3.了解VBScritp病毒的感染目标和感染方式4.掌握编写VB脚本病毒专杀工具的一般方法【实验原理】VBScript语法(可查询“微软VbScript手册vbs.chm”)1.文件操作(1)创建文件对象:文件操作前都要创建文件对象Set fso = CreateObject(“Scripting.FileSystemObj原创 2020-09-26 17:46:09 · 8882 阅读 · 1 评论 -
实验二——病毒行为监控--搭建反病毒实验室
【实验名称】 2、病毒行为监控–搭建反病毒实验室 【实验目的】1、搭建虚拟机,设置安全的病毒运行环境2、了解监控病毒行为的常用工具3、掌握病毒行为监控软件的使用方法4、使用病毒行为监控软件捕获病毒行为【实验原理】为达到其目的,计算机病毒会对操作系统做一些改动,这种改动体现为对文件、进程、注册表和网络等进行操作。监控病毒的这些行为是快速分析病毒的捷径。【实验内容】1、参考《课2-实验步骤》(1)搭建病毒分析实验室课2:搭建病毒分析实验室(一)启动计算机-进入第四个操作系统-打开VM原创 2020-09-20 22:04:02 · 9363 阅读 · 0 评论 -
实验一——病毒注册表操作
【实验内容】(1)强制隐藏.exe文件的扩展名刚开始应用程序的exe扩展名都是可见的1、注册表项:HKEY_CLASS_ROOT\exefile,2、新建字符串值:取名为NeverShowExt。用Mytool工具:直接在注册表中添加3、重启计算机重启之后,所有exe文件的扩展名都被隐藏。(2)隐藏“文件夹选项”子菜单项刚开始“文件夹选项”子菜单选项是可以用的1、注册表项\HKEY_CURRENT_USER\Software\Microsoft\Windows\Current原创 2020-09-20 21:35:37 · 9175 阅读 · 0 评论 -
实验四——反汇编工具的使用
【实验名称】 反汇编工具的使用【实验目的】1.熟悉动态分析工具OllyDBG的界面和常用模块2.熟悉静态分析工具IDA的界面和常用模块3.掌握使用OllyDBG和IDA分析修改可执行文件的方法【实验原理】1.OD界面a.反汇编窗口:显示被调试程序的反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。b.寄存器窗口:显示当前所选线程的 CPU 寄存器内容c.信息窗口:显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等d.数据窗口:显示内存或文件的内容。右键菜单可用于切换显原创 2020-09-20 19:42:04 · 10720 阅读 · 1 评论