标签：一节 文件 exe 感染 virus PE 病毒

一、实验目的

1、了解PE文件基本结构
2、了解文件型病毒的基本制造原理
3、了解病毒的感染、破坏机制，进一步认识病毒程序
4、掌握文件型病毒的特征和内在机制

二、实验环境

运行环境Windows 2003。

三、实验步骤

1、将peview.zip、stud_pe_chs.rar、example.rar在win2003中压缩包解压缩。

图1. 将上述三个文件压缩包在win2003中进行解压 2、利用peview打开example其中一个exe文件，查看DOS头，标注出MZ标志和PE头的偏移地址。
图2. 打开exe文件 3、找到文件中PE头的标志并标注截图，在PE头中找到节的数目并标注。
图3. PE头的标志

图4. 节的数目 4、在可选文件头中找出代码段大小，程序入口点、代码地址、数据地址、映像基地址、内存中单元块大小、文件中单元块大小、映像文件大小并标注出来。
图5. 可选文件头中内容 5、在节中找到其中任意一节，并查看节中有哪些字段。
图6. 打开CODE节头 6、用stud_pe打开kernel32.dll，查看有多少节，在函数中找到GetProcAddress和LoadLibraryA并截图标注出来。
图7. 查看多少节

图8. 在函数找到GetProAddress函数

图9. 在函数里找到LoadLibraryA函数 7、打开病毒源码virus.asm，利用masm32编译病毒程序virus.asm，参考命令：
c:\masm32\bin\ml.exe /c /coff /Cp virus.asm
c:\masm32\bin\link.exe /SUBSYSTEM:WINDOWS /section:.text,rwe virus.obj
图10. 修改szIS

图11. 编译生成obj文件

图12. 编译生成exe文件 8、将生成的病毒文件virus.exe和步骤2中选择的文件放在一个文件夹内，然后运行virus.exe。
图13. 放在一个文件夹内

图14.运行文件

图15. 感染完成 9、然后将被感染的exe文件和example中其他任意文件放在一个文件夹中，运行被感染的文件，检查是否能感染其他exe文件。
图16. 运行被感染文件 10、利用peview查看被感染的文件，重复步骤345，并填写下表。
图17. 感染后PE头标志

图18. 感染后节的数目

图19. 感染后文件头内容

图20. 感染后IS节内容

上一级	字段	感染前	感染后
DOS头	e_magic	0x5A4D	0x5A4D
DOS头	e_lfanew	0x0040	0x0040
NT头	Signature	0x00004550	0x00004550
文件头	Machine	0x014C	0x014C
文件头	NumberOfSections	0x0009	0x000A
可选文件头	SizeOfCode	0x00007C00	0x00008C00
可选文件头	AddressOfEntryPoint	0x00008964	0x00012B95
可选文件头	BaseOfData	0x00009000	0x00009000
可选文件头	SectionAlignment	0x00001000	0x00001000
可选文件头	SizeOfImage	0x00012000	0x00013000
最后一节	Name	.cas	IS
最后一节	VirtualSize	0x00001000	0x00000CD6
最后一节	VirtualAddress	0x00011000	0X00012000
最后一节	SizeOfRawData	0x00000A00	0x00000E00
最后一节	Characteristics	0xC0000040	0xE0000020

标签：一节,文件,exe,感染,virus,PE,病毒
来源： https://www.cnblogs.com/fumengHK/p/13984895.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。