COM病毒实验

COM病毒实验应用场景计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。无论是.com文件还是.exe文件，或是操作系统的可执行文件，当启动已感染文件型病毒的程序时，暂时中断该程序，病毒完成陷阱的布置、感染工作后，再继续执行host程序，使计算机使用者初期觉得可正常执行，而实际上，在执行期间，病毒已暗做传染工作，时机成熟时，病毒发作。.com文件结构比较简单，是一种单段执行结构，起源于cpm-86操作系统。.com文件包含程序的一个绝对映像，其文件代码和运行时内存映像完全相同，起始执行偏移地址为100H，对应于文件的偏移0。为了能准确地处理指令和内存中的数据，ms-dos通过直接把该映像从文件拷贝到内存而加载.com程序，不作任何改变。为加载一个.com程序，ms-dos首先试图分配内存。因为.com程序必须位于一个64KB的段中，所以.com文件的大小不能超过65024B(64KB减去用于psp的256B和用于一个起始堆栈的至少256B)。实验目标：VM了解COM病毒的原理；掌握COM病毒的分析及其修改过程；能够根据病毒特征还原COM文件。实验环境：虚拟机：WindowsXP，gold.exe，MasmforWindows集成实验环境2011实验过程指导：使用masm自制无害感染com病毒virus.exe，感染自制com执行文件test.com，通过Gold.exe查看感染前后com文件的变化，并适当改值复原test.com程序，达到对COM病毒原理及其修复的方法的掌握。实验内容包括：1）自制test.com可执行文件；2）自制virus.exe无害com修改病毒；3）感染test.com程序，并查看感染后的com文件；4）修复test.com感染程序。启动虚拟机，并设置虚拟机的IP地址，以虚拟机为目标主机进行实验。个别实验学生可以以2人一组的形式，互为攻击方和被攻击方来做实验。1.自制test.com（1）在c盘目录“C:\JMSOFT\Masm”,下新建两个文件“c.asm”和“virus.asm”。如下.“c.asm”中代码，如下图：（2）编译生成“c.exe”，运行如下图（3）可在当前目录下查看新生成文件,如下图：（4）将“c.exe”转换为“test.com”程序，如下图：（5）可查看新生成的“test.com”文件，如下图：2.自制virus.exe（1）在“virus.asm”中添加代码，如下图（2）编译生成可执行文件，如下图：（3）查看生成文件，如下图：3.感染并查看（1）“test.com”正常执行。如下图所示：（2）感染，如下图（3）感染后文件变化，如下图：（4）复制“test.com”一个新文件“test1.com”,以便后面修改使用。执行“test1.com”结果如下图：4.修复（1）对“test1.com”进行修复，如下图：（2）将“c.exe”转换为“test.com”程序，如下图：（3）然后将“test1”改为“test1.com”，执行，如下图（4）下图为使用“glod.exe”汇编工具，查看相关修改前后的文件内容，如下图：【实验思考】1.在实验中对test1.com进行修复，修复后未能输出“he”两个字母，为什么？（查看反汇编后代码）2.尝试能否完全修复test1.com文件（本实验只为讲述原理）。