《计算机病毒及其防范技术》实验指导书指导教师:陈寒星适用专业:信息安全、计算机科学、计算机网络贵州大学计算机科学与信息学院2015年5月-2-实验1:WinHex读取硬盘主分区表1.实验目的与要求目的:掌握硬盘主分区表的结构要求:1)掌握实用WinHex软件。2)能够使用WinHex软件查看磁盘内容,通过0柱面,0磁头,1扇区看懂该计算机分区情况。2.实验条件学生自己的笔记本,网线,从ftp上下载WinHex软件安装WinHex软件3.实验内容与步骤内容:1)了解硬盘主分区表的结构和内容2)安装WinHex软件3)用WinHex打开磁盘,查看该计算机的磁盘内容4)找出主分区表的位置5)列出该计算机主分区表的分区情况步骤:1)了解硬盘主分区表的结构和内容主引导扇区(BootSector)也就是硬盘的第一个扇区(0柱面0磁头1扇区)i.主引导记录(MasterBootRecord,MBR)ii.主分区表即磁盘分区表(DiskPartitionTable,DPT)iii.引导扇区标记(BootRecordID/Signature)MasterBootRecord主引导记录(466字节)分区表项1(16字节)分区表项2(16字节)分区表项3(16字节)分区表项4(16字节)01FE5501FFAA000001BD01BE01CD01CE01DD01DE01ED01EE01FD-3-2)安装WinHex软件,打开Winhex,查看磁盘内容3)列举主分区表的意义上各个数据的意义4.实验报告要求及实验成果的收集按贵州大学《实验报告》格式填写实验报告。每次实验后由行政班班长或学习委员收齐后统一按时提交给指导教师。同时提交电子版实验报告,学生实验电子文档(源代码等)也要按规范命名:学号姓名实验次数.rar,如:0711710101张三1.rar,每次实验后由行政班班长或学习委员收齐后统一按时提交给指导教师。-4-实验2:WinHex读PE文件头1.实验目的:掌握PE文件格式与Win32病毒的关系2.要求:1)掌握WINHEX软件的使用,来读PE文件的内容2)通过WinHex显示的内容,来掌握PE文件的DOS头,DOS插桩程序和PE文件头的数据结构的各个字段的意义,从而了解病毒感染PE文件的机制3.实验条件1)Windows操作系统2)WinHex软件4)PE文件4.实验内容与步骤内容:5)学习PE文件格式,包括DOS头,DOS插桩程序和PE文件头,节表、节6)使用WinHex查看PE文件的文件头内容7)了解文件头中各个字段代表的意义,并列举出来步骤:a)学习PE文件格式,包括DOS头,DOS插桩程序和PE文件头,节表、节i.PE的意思就是PortableExecutable(可移植、可执行),它是Win32可执行文件的标准格式ii.由于大量的EXE文件被执行,且传播的可能性最大,因此,Win32病毒感染文件时,基本上都会将EXE文件作为目标-5-b)阅读PE文件头的内容c)查阅几个最重要的关键字段的值,列出它们的意义i.ImageBaseii.AddressOfEntryPointiii.NumberOfSectionsiv.MachineMZ文件头:DOSMZHEADERDOS插桩程序:DOSStubIMAGE_SECTION_HEADERIMAGE_SECTION_HEADERIMAGE_SECTION_HEADERIMAGE_SECTION_HEADER.text.data.edata.reloc...COFF行号COFF符号表CodeView调试信息PE文件标志:“PE\0\0”映像文件头:IMAGE_FILE_HEADER可选映像头:IMAGE_OPTIONAL_HEADER32数据目录表:IMAGE_DATA_DIRECTORYDOS头PE文件头节表(SectionTable)节(Section)调试信息文件头文件尾-6-5.实验报告要求及实验成果的收集按贵州大学《实验报告》格式填写实验报告。每次实验后由学习委员收齐后统一按时提交给指导教师。同时提交电子版实验报告,学生实验电子文档(源代码等)也要按规范命名:学号姓名实验次数.rar,如:0711710101张三1.rar,每次实验后由行政班班长或学习委员收齐后统一按时提交给指导教师。