专业班级 实验学时 实验时间 实验成绩 学 号 实验类型 指导老师 姓 名 实验地点 高虎 年 月 日
一 实验目的
通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染染毒文件的方法,提高汇编语言的使用能力。 二 实验内容
1.引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制;阅读和分析病毒的代码。
2.DOS 运行时病毒由硬盘感染软盘的实现。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制;阅读和分析病毒的代码。 三 预备知识
本实验需要如下的预备知识:
1. 引导病毒的基础知识,包括引导病毒的概念,引导扇区的位置和结构等。 2. BIOS 常用中断的相关知识,包括对磁盘的读写和屏幕字符的打印等。 汇编语言基础,能独立阅读和分析汇编代码,掌握常用的汇编指令。 四 实验环境
VMWare Workstation 5.5.3 或者 8.0 均可 MS.DOS 7.10
实验素材:experiments 目录下的 bootvirus 目录。 2.4 实验步骤
第一步:环境安装
安装虚拟机 VMWare,在虚拟机环境内安装 MS-DOS 7.10 环境。安装步骤参考附录。
第二步:软盘感染硬盘
(1)运行虚拟机,检查目前虚拟硬盘是否含有病毒。 (2)复制含有病毒的虚拟软盘 virus.img
(3)将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,。 第三步:验证硬盘已经被感染
(1) 取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面。
(2)按任意键后正常引导了 DOS 系统,如图 2.5 所示。此时,硬盘已经被感染。 第四步:硬盘感染软盘
(1)下载 empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空, 但该显示一瞬即逝,很快又变成了病毒的画面。
(2)取出虚拟软盘,从硬盘启动,通过命令 formatA:q 快速格式化软盘。可能提示出错,这时只要按下 R 键即可. 五 实验思考
a) 如何检测一个硬盘是否感染了引导病毒?
答:主要是基于下列四种方法:比较被检测对象与原始备份的比较法;利用病毒特征代码串进行查找的搜索法;搜索病毒体内特定位置的特征字识别法;运用反汇编技术分析被检测对象,确证是否为病毒的分析法。 b) 如何清除染毒的硬盘或软盘?
答: 由于引导型病毒是常驻内存的,因此清除病毒之前必须清除内存中的病毒(或采用修复中断向量表等方法将其灭活),否则很难清除干净。
硬盘主导扇区染毒时的修复方法:(1)用无毒软盘启动系统,(2)寻找一台同类型、硬盘分区相同的无毒计算机,将硬盘主导扇区写入一张软盘中(3)将此软盘插入染毒计算机,将其中采集到的主引导扇区数据写入软度硬盘0柱面0磁头1扇区,即可修复;硬盘、软盘BOOT扇区染毒时修复方法,修复硬盘BOOT扇区,最简单的方法是使用系统命令,SYS,即用与染毒盘相同版本的无毒系统软盘启动计算机,然后执行命令“SYS:C”用正常的引导程序覆盖银盘的BOOT扇区;修复软盘BOOT扇区也可采用类似的覆盖方法
引导型病毒如果将原主引导扇区或BOOT扇区覆盖式的写入目录区,被覆盖的根目录完全覆盖,不可能恢复,若引导病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时,第二FAT表并未破坏,可以FAT表复制到第一FAT表中。
一般而言,引导型病毒占用其他部分的存储空间,只有采用“坏簇”技术和“文件结束簇”技术占用的空间需要收回,修改文件分配表即可。 六 试验总结
通过参考试验指导书,询问同学基本上完成了本次试验的相关要求,达到了试验的相关目的,更加深入了解引导区病毒的感染对象和感染特征以及引导病毒的感染机制和恢复感染染毒文件的方法,提高了自己的汇编编写程序的能力。
因篇幅问题不能全部显示,请点此查看更多更全内容