偏移 00 02 04 06 08 0A 0C 0E 10 12 14 16 18 1A 键的信息

大小(字节) 2 2 2 2 2 2 2 2 2 2 2 2 2 2 描述 EXE文件类型标记： 4D5Ah(ASCII字符MZ) 文件最后一个扇区的字节数 文件的总扇区(页)数文件的大小=(总扇区数-1)×512+最后一个扇区的字节数 重定位项的个数 EXE文件头的大小(16字节的倍数) 最小分配数(16字节的倍数) 最大分配数(16字节的倍数) 初始化堆栈段(SS初值) 初始化堆栈指针(SP初值) 补码校验和 初始代码段指针(IP初值) 初始代码段段地址(CS初值) 定位表的偏移地址(第一个重定位项偏移量) 连接程序产生的覆盖号 2）使用WinHex打开一个MZ文件FDisk.exe，阅读它的文件头，查看其关

3）列出其关键信息，并找到病毒需要修改的字段

实验3：WinHex读PE文件头

目的：

掌握PE文件格式和Win32病毒的关系 要求：

1）掌握WINHEX软件的使用，来读PE文件的内容

2）通过WinHex显示的内容，来掌握PE文件的DOS头，DOS插桩程序和PE文件头的数据结构的各个字段的意义，从而了解病毒感染PE文件的机制

8. 实验条件

1）学生自己的笔记本 2）Windows操作系统 3）WinHex软件 4）PE文件 9. 实验内容和步骤 内容：

9) 学习PE文件格式，包括DOS头，DOS插桩程序和PE文件头，节表、

节

10) 使用WinHex查看PE文件的文件头内容 11) 了解文件头中各个字段代表的意义，并列举出来 步骤：

1）

学习PE文件格式，包括DOS头，DOS插桩程序和PE文件头，节表、节

1. PE的意思就是Portable Executable(可移植、可执行)，它是Win32可执行文件的标准格式

2. 由于大量的EXE文件被执行，且传播的可能性最大，因此，Win32病毒感染文件时，基本上都会将EXE文件作为目标 头PE文件头的内容 2） DOS阅读MZ文件头:DOS MZ HEADERDOS插桩程序:DOS StubPE文件标志:“PE\\0\\0”PE文件头映像文件头:IMAGE_FILE_HEADER可选映像头:IMAGE_OPTIONAL_HEADER32数据目录表:IMAGE_DATA_DIRECTORYIMAGE_SECTION_HEADERIMAGE_SECTION_HEADER节表(Section Table)IMAGE_SECTION_HEADER3） 查阅几个最重要的关键字段的值，列出它们的意义 IMAGE_SECTION_HEADER1. ImageBase .text2. AddressOfEntryPoint .data节3. NumberOfSections .edata(Section)4. Machine .reloc...实验:4：COM文件型病毒编制 COFF行号首先利用DEBUG命令编写一个实验性“原”程序 test.com。 调试信息COFF符号表Code View调试信息文件头 文件尾

使用 DEBUG调试工具将其改为嵌入“病毒代码”的实验性“病毒”程序，完成以下功能：

将“病毒”程序合并到“原”程序后部，形成合并后的 virtest.com文件。

将“原”程序头部指令改为 JMP或 CALL, 程序入口改到“病毒”程序入口。

3观察带毒程序：

判断 test.com 程序的第一条指令将其改为首条 JMP 或CALL 指令，转向病毒程序入口地址。

检查病毒体长度。由于已改变“原”程序的主体，故程序增长。 运行验证，输入ESC键则显示仍为“hello”。否则，程序死循环。

分析思考

1． COM 文件病毒代码如何附着在病毒目标体上， 如何实现病毒代码对程序的控制权？

病毒通过在宿主程序前添加3字节（跳转到病毒代拿的3字节JMP指令），在运行宿主程序时即获得的控制权限，搜索并感染目标文件，每感染一个髠文件，感染计数器增1，若感染数量到达设定值，则爆发（显示“Virus infection test!”等信息）。

实验5：宏病毒实践和分析

? 录制宏

以下用宏的制作讲述如何录制宏，示例宏名是“表格插入”，其作用是自动插入一个4x4的表格，通过快捷键CTRL+J或者“表格”菜单下子菜单“表格插入”，都能完成操作。

步骤：

1）打开word，新建一个文档，命名为“录制宏” 2）工具->宏->录制新宏 3）命名宏“表格插入”，先选择指定到“工具栏”，进入“命令”菜单，将刚才所建的宏拖动到word表格菜单下

4）然后选择“保存于”对话框，在这里可以选择保存于normal模板或者当前文件（两者都试一下，看有什么区别没）

5）在“自定义”对话框中选择“键盘”，进入快捷键的设置， 6）表格->插入表格，4x4表格。 7）点击“结束录制”，这样就完成了宏的制作，通过快捷键或者菜单栏可实现4x4表格的插入。