信安综合实习报告
信息安全专业毕业实习报告2篇
信息安全专业毕业实习报告信息安全专业毕业实习报告精选2篇(一)实习报告实习单位:XXX公司实习岗位:信息安全专员实习时间:2021年7月1日至2021年8月31日一、实习目标和任务在本次实习中,我的主要目标是提升自己在信息安全方面的实际操作能力,在工作中学习到更多的知识和经验。
实习期间,我的主要任务如下:1. 参与公司信息系统的安全评估工作,对系统漏洞进行分析和修复。
2. 协助制定公司信息安全政策和规范,并促使员工遵守。
3. 参与应急响应工作,及时处理各类安全事件。
4. 组织进行信息安全培训和宣传,提高员工的信息安全意识。
5. 协助进行安全测试和渗透测试,发现和修复系统漏洞。
二、实习过程和成果1. 参与信息系统安全评估工作在实习期间,我参与了公司信息系统的安全评估工作。
通过对系统进行渗透测试和漏洞扫描,我发现了一些潜在的安全隐患,并及时向负责人汇报。
通过与团队成员的合作,我们成功修复了这些漏洞,提高了系统的安全性。
2. 协助制定信息安全政策和规范我参与了公司信息安全政策和规范的制定工作。
通过调研和借鉴其他公司的经验,我和团队成功制定了一份适合公司实际情况的信息安全政策和规范,并通过内部培训向员工进行了宣传。
3. 参与应急响应工作在实习期间,我还参与了公司的应急响应工作。
当出现安全事件时,我积极配合团队成员进行现场调查,分析事件原因,并及时采取措施进行处理。
通过这些实践,我对应急响应工作有了更深刻的理解,并提升了在紧急情况下的应变能力。
4. 组织信息安全培训和宣传为了提高公司员工的信息安全意识,我组织了几次信息安全培训和宣传活动。
通过讲解信息安全的基本概念和常见的安全威胁,我帮助员工了解到安全意识的重要性,并教授了一些简单的防护措施。
这些活动受到了员工的积极参与和好评。
5. 协助安全测试和渗透测试在实习期间,我还参与了公司的安全测试和渗透测试工作。
通过模拟黑客攻击的方式,我们发现了一些系统存在的漏洞,并及时向开发人员反馈。
信息安全专业实习报告
随着信息技术的飞速发展,信息安全已经成为我国社会发展的重要保障。
为了提高自身专业素养,我选择了信息安全专业进行深造。
在大学期间,我系统地学习了信息安全的相关知识,为了将理论知识与实践相结合,我选择了在某知名网络安全公司进行为期三个月的实习。
二、实习单位及岗位实习单位:XX网络安全有限公司实习岗位:信息安全工程师三、实习内容在实习期间,我主要参与了以下工作内容:1. 网络安全防护:协助团队进行网络安全防护工作,包括防火墙配置、入侵检测系统部署、漏洞扫描与修复等。
2. 安全事件响应:参与安全事件响应流程,包括接报、分析、处置、总结等环节。
3. 安全风险评估:协助团队进行安全风险评估,包括对业务系统、网络设备等进行安全评估,提出改进措施。
4. 安全意识培训:参与公司内部安全意识培训,提高员工的安全防范意识。
5. 项目支持:参与公司内部项目,如安全运维、安全加固等,提供技术支持。
四、实习收获1. 专业知识提升:通过实习,我对信息安全领域的专业知识有了更深入的了解,包括网络安全、密码学、安全协议等方面。
2. 实践能力增强:在实习过程中,我将所学知识运用到实际工作中,提高了自己的实践能力。
3. 团队协作能力:在实习过程中,我学会了与团队成员协作,共同完成工作任务。
4. 沟通能力提升:与同事、上级、客户等进行沟通,提高了自己的沟通能力。
5. 职业素养培养:在实习过程中,我逐渐形成了良好的职业素养,如责任心、敬业精神等。
1. 理论知识与实践相结合:通过实习,我深刻体会到理论知识与实践相结合的重要性。
只有将所学知识运用到实际工作中,才能真正提高自己的能力。
2. 团队协作的重要性:在实习过程中,我认识到团队协作的重要性。
只有团队成员之间相互配合,才能高效地完成工作任务。
3. 持续学习的重要性:信息安全领域不断发展,新技术、新理念层出不穷。
作为一名信息安全专业人才,我需要不断学习,才能跟上时代的步伐。
4. 职业规划的重要性:在实习过程中,我更加明确了自己的职业规划。
信息技术安全应用专业实训报告
信息技术安全应用专业实训报告一、实习目的本次实习的主要目的是为了提高我在信息技术安全应用方面的实践能力和专业素养,增强我对实际工作的了解和认识,为未来的职业发展做好准备。
二、实习岗位的认识和见解在实习期间,我深刻认识到信息技术安全应用的重要性,以及在实际工作中所扮演的关键角色。
作为一个信息安全工程师,不仅需要具备扎实的专业知识,还需要良好的沟通协作能力,以应对不断变化的网络环境。
三、实习过程中发现的问题和解决问题的方法在实习过程中,我遇到了一些问题。
例如,在面对复杂的网络环境时,如何快速准确地定位并解决安全问题。
针对这个问题,我通过查阅相关资料、请教同事以及实践操作等方式,逐渐掌握了解决这类问题的技巧和方法。
四、对实习过程的总结和收获通过这次实习,我不仅提高了自己的专业技能,还增强了对实际工作的了解和认识。
我深刻认识到,只有将理论知识与实践相结合,才能更好地理解和掌握专业知识。
此外,我也学会了如何更好地与同事沟通协作,以应对工作中的挑战。
五、对实习过程中不足之处的建议在实习过程中,我认为自己在某些方面还有待提高。
例如,在面对复杂问题时,我需要进一步提高自己的分析问题和解决问题的能力。
此外,我也希望在未来的实习中,能够有更多机会参与到项目的整体规划和实施中,以提升自己的综合素质。
六、个人对实习过程中的体会和收获通过这次实习,我深刻体会到了信息技术安全应用的重要性和实际工作的复杂性。
在这个过程中,我不仅提高了自己的专业技能,还学会了如何更好地与同事沟通协作。
同时,我也认识到了自己的不足之处,将在未来的学习和工作中更加努力地提高自己。
信息安全生产实习报告
信息安全生产实习报告一、实习背景与目的随着信息技术的迅速发展,信息安全问题日益凸显,信息安全生产已成为我国经济社会发展的重要保障。
为了提高自己在信息安全领域的实践能力,我选择了信息安全生产实习,希望通过实习了解并参与到信息安全工作中去。
本次实习旨在了解信息安全生产的基本情况,掌握信息安全防护的基本技能,提高自己在面对信息安全问题时的工作能力和应变能力。
二、实习内容与过程1. 实习单位与岗位本次实习单位为某知名信息安全公司,实习岗位为信息安全工程师助理。
2. 实习主要内容(1)信息安全防护技术的学习与实践:通过实习,我了解了信息安全防护的基本技术,包括防火墙、入侵检测、数据加密等,并在实际工作中运用这些技术参与到了公司项目的实施中。
(2)信息安全事件的应急处理:在实习期间,我参与了公司信息安全事件的应急处理,学习了信息安全事件的分类、等级划分和应急处理流程,提高了自己在面对信息安全事件时的应变能力。
(3)信息安全政策法规的的学习与宣传:在实习过程中,我学习了国家有关信息安全的政策法规,参与了公司信息安全宣传活动的策划与实施,提高了自己对信息安全法律法规的认识。
三、实习成果与反思1. 实习成果通过本次实习,我掌握了信息安全防护的基本技术,提高了自己在面对信息安全问题时的工作能力和应变能力,为今后从事信息安全工作奠定了基础。
2. 实习反思(1)理论知识与实践能力的结合:在实习过程中,我认识到理论知识与实践能力的结合至关重要。
只有掌握了扎实的理论知识,才能在实际工作中游刃有余。
因此,我将在今后的学习中,更加注重理论知识的学习,提高自己的实践能力。
(2)团队协作与沟通能力的培养:在实习过程中,我深刻体会到团队协作与沟通能力在信息安全工作中的重要性。
为了提高自己的团队协作与沟通能力,我将在今后的学习和工作中,注重与他人的交流与合作,培养自己的团队精神。
四、总结通过本次信息安全生产实习,我对信息安全工作有了更加深刻的认识,提高了自己在信息安全领域的实践能力。
信息安全实习报告
信息安全实习报告在当今数字化的时代,信息安全已成为至关重要的领域。
我有幸在实习公司名称进行了为期实习时长的信息安全实习,这段经历不仅让我将所学的理论知识应用于实践,更让我深刻地认识到信息安全对于企业和社会的重要性。
一、实习单位及岗位介绍实习公司名称是一家在行业内具有一定影响力的公司类型企业,专注于公司主要业务领域。
公司高度重视信息安全,拥有一支专业的信息安全团队,致力于保障公司的信息资产安全和业务的稳定运行。
我所在的实习岗位是信息安全实习生,主要职责包括协助信息安全团队进行日常的安全监控、漏洞扫描、安全策略的制定和实施等工作。
在实习期间,我在导师的指导下,逐渐熟悉了公司的信息安全体系和工作流程。
二、实习内容及成果(一)安全监控与事件响应在实习期间,我参与了公司的安全监控工作。
通过使用安全监控工具,如监控工具名称,实时监测公司网络中的异常活动和潜在的安全威胁。
一旦发现异常,及时向团队报告,并协助进行事件的调查和处理。
在一次网络攻击事件中,我通过对流量数据的分析,发现了异常的访问模式,并及时通知了团队,为公司避免了潜在的损失。
(二)漏洞扫描与评估我还参与了公司的漏洞扫描工作。
使用专业的漏洞扫描工具,如漏洞扫描工具名称,对公司的网络设备、服务器和应用系统进行定期的漏洞扫描。
扫描完成后,对发现的漏洞进行评估和分类,并协助制定相应的修复方案。
通过我们的努力,公司的漏洞数量得到了有效控制,系统的安全性得到了显著提升。
(三)安全策略制定与实施参与了公司部分安全策略的制定和实施工作。
在制定策略过程中,我深入了解了公司的业务需求和安全风险,结合行业最佳实践,提出了一些建设性的建议。
例如,在制定员工网络访问策略时,我建议采用基于角色的访问控制(RBAC)模型,以提高访问控制的灵活性和安全性。
这些建议得到了团队的认可,并在实际中得到了应用。
(四)安全培训与意识提升协助组织了公司的信息安全培训活动,旨在提高员工的信息安全意识。
信息安全专业实习报告
信息安全专业实习报告信息安全专业实习报告(精选11篇)接地气的实习生活已经告一段落,这次实习让你心中有什么感想呢?如果我们能够写好实习报告,可以收获更多。
是不是无从下笔、没有头绪?下面是店铺精心整理的信息安全专业实习报告(精选11篇),仅供参考,欢迎大家阅读。
信息安全专业实习报告篇1实习时间:20xx年x月x日-x月x日实习地点:xx实习过程及体会:我是xxx计算机职业技术学院信息安全专业的学生,去年xx月份从学校出来后,我来到xxx网站开始自已为期xx个月的实习工作,在这几个月的实习工作中,我主要负责网站编辑工作,在工作中,我学到和领悟到很多东西,实习期间,我努力将自己在校学习的理论知识向实践方面转化,尽量做到理论和实际相结合。
在实习期间,能遵守工作纪律,不迟到,不早退,认真完成领导交给的工作。
我做的是网站的新闻编辑工作,负责把一些收集来的新闻进行加工和编辑,再放到网站上供网友阅读。
这个网站是附属于xx区xx书店集团公司的,是集团里的一个媒体,所以还有网站上也有一些集团内部的新闻。
我就负责去采集新闻材料,撰写新闻稿。
因为是读书网站,面向大众,所以还要在网站上进行新书推荐,把书的内容编辑后放到网站上供书友阅读。
此网站还有论坛和博客板块,我也负责在里面发发贴,自己写一些文章放到博学客习上网面。
实习期间,我利用此次难得的机会,努力工作,认真学习,严格要求自己,虚心向领导请教。
其实我们大一学习的多为基础课,专业课程还没开课,但是这些网站上一般的工作都还能应付。
在工作中,我提高自己运用word,excel等常用软件的能力,学会如何去采集资料和撰写写作新闻稿,提高自己的文字运用能力和写作水平。
“纸上得来终觉浅,绝知此事要躬行。
”在短暂的实习过程中,我深深的感觉到自己所学知识的肤浅和在实际运用中的专业知识的匮乏,刚开始的一段时间里,对一些工作感到无从下手,茫然不知所措。
在学校总以为自己学的不错,一旦接触到实际,才发现自己知道的是多么少,这时才真正领悟到“学无止境”的含义。
信息安全实习报告范文多篇
信息安全实习报告范文多篇信息安全实习报告范文三篇在日常生活和工作中,报告的使用成为日常生活的常态,其在写作上具有一定的窍门。
那么什么样的报告才是有效的呢?下面是小编为大家整理的信息安全实习报告范文三篇,希望能够帮助到大家。
信息安全实习报告1我是学院XX级信息安全系的学生,在去前毕业后,我来到了**公司进行实习工作,我主要做的是网站设计工作,我发现通过实习工作,自身专业技术提高的非常快,通过在**公司进行工作,我学到了很多在学校接触不到的东西,比如,学习能力、生存能力、与人沟通的能力等等。
现将我的实习情况汇报如下,请老师点评。
一、实习工作介绍我所在的这家公司,是一家做网上招商的商业网站,公司接收各种厂家提供的信息,然后由网络的技术人员,将商家的信息做成网页广告,然后挂在我们的网站上,以此达到商业推广的目的,类似我们公司的网站在同行业还有XX网等。
我和其它几位同事做为网络部的技术人员,主要的工作就是接收美工人员的网站模板,将其通过photoshop切片,然后导入dreamweaver进行排版,(排版主要使用css+div),并进一步的加以制作,完善美化,如加入js代码,或透明flash,因为网页是用css+div进行排版的,所以在最后一步的时候,我们还需要进行浏览器测试,因为css+div排版方式有一个最大的缺点就是:浏览器不兼容的问题,典型的如:ie与fireworks,因为各种浏览器使用的协议不同,所以会导致页面在最终浏览的时候有一些小问题,如:页面混乱,图片、文字之间的距离过大或过小,页面不美观等等,做为一个新人,我在有些方面的技术还很不成熟,所以在技术总监张伟的帮助下,解决了很多问题,所在我很感谢他,当每天我们做完网页后,都会在代码页面加入注释代码,在里面写上每个人姓名的汉语拼间和工作日期,这样方便月底做统计工作,公司领导会根据每个人的工作数量进行奖励,每做一个页面会有2块的提成,虽然少点,但是积少成多,也是很可观的。
信安实习报告
实习报告一、实习背景与目的随着信息技术的迅速发展,信息安全已成为我国经济社会发展的重要保障。
为了提高自己在信息安全领域的实际操作能力,我选择了四川澜凯信安信息技术有限公司进行为期一个月的实习。
本次实习的主要目的是了解信息安全服务的实际操作,掌握信息安全风险评估、安全加固、漏洞扫描、应急响应等基本技能,提升自己的沟通协调能力和团队合作精神。
二、实习内容与过程1. 信息安全风险评估在实习期间,我参与了客户的信息安全风险评估项目。
通过收集和分析客户网络环境、系统配置、应用软件等方面的信息,识别出潜在的安全风险。
在此基础上,撰写了一份详细的风险评估报告,并提出针对性的安全建议。
2. 安全加固与漏洞扫描针对客户系统中存在的已知漏洞,我负责进行安全加固和漏洞扫描。
通过使用各类安全工具,对客户的操作系统、Web服务器、数据库等进行安全检查,及时发现并修复漏洞。
同时,针对不同类型的漏洞,制定相应的防护措施,提高系统的安全性。
3. 应急响应在实习期间,我参与了公司组织的应急响应演练。
通过模拟真实的安全事件,了解应急响应的基本流程,掌握事故调查、原因分析、应急处理等环节。
此外,我还学习了如何编写应急响应报告,向客户解释事件原因和解决方案。
4. 技术交流与解决方案编写在日常工作中,我积极参与技术交流,向有经验的同事请教各类安全问题。
在解决实际问题的过程中,学会了如何编写解决方案,向客户讲解安全服务方案,汇报服务成果。
5. 团队协作与沟通协调实习期间,我充分体会到团队合作的重要性。
在与同事共同完成项目的过程中,学会了沟通协调,提高了自己的团队协作能力。
同时,在驻场服务中,与客户建立了良好的关系,提升了自己的服务意识。
三、实习收获与反思1. 技能提升通过实习,我掌握了信息安全风险评估、安全加固、漏洞扫描、应急响应等基本技能,为今后在信息安全行业的发展奠定了基础。
2. 团队协作与沟通协调能力在实习过程中,我充分体会到团队协作和沟通协调的重要性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(7)写入节表和修改PE文件其他相关首部
①写入节名(8字节)。
②写入节的实际字节数(4字节)。
③写入新节在内存中的开始偏移地址(4字节),同时可以计算出病毒入口位置。上节在内存中的开始偏移地址+(上节大小/节对齐+1)×节对齐=本节在内存中的开始偏移地址。
(3)通过PEB相关数据结构获取。fs:[0]指向TEB结构,首先从fs:[30h]获得PEB地址,然后通过PEB[0x0c]获得PEB_LDR_DATA数据结构地址,然后通过从PEB_LDR_DATA[0x1c]获取地址,最后在Flink[0x08]中得到模块的基地址。这种方法比较通用,适用于2K/XP/2003。在Exploit的编写中,也通常采用这种方式。
(7) FlushFileBuffers该函数将指定的文件句柄对应文件的缓冲区的所有内容写入到文件之中,并刷新内部文件缓冲区。
为了提高自己的生存能力,病毒是不应该破坏HOST程序的,既然如此,病毒应该在病毒执行完毕后,立刻将控制权交给HOST程序,病毒如何做到这一点呢
返回HOST程序相对来说比较简单,病毒在修改被感染文件代码开始执行位置(AddressOfEntryPoint)时,会保存原来的值,这样,病毒在执行完病毒代码之后用一个跳转语句跳到这段代码处继续执行即可。
WIN32_FIND_DATA结构中存放着找到的文件的详细信息,具体结构如下所示:
WIN32_FIND_DATA STRUCT
dwFileAttributes DWORD
③该目录搜索完毕是则返回,否则继续
④找到文件还是目录是目录则调用自身函数FindFile,否则继续
⑤是文件,如符合感染条件,则调用感染模块,否则继续
FindNextFile:该函数根据调用FindFirstFile函数时指定的一个文件名查找下一个文件,返回值非零表示成功,零表示失败。如不再有与指定条件相符的文件,会将GetLastError设置成ERROR_NO_MORE_FILES。
FindClose:该函数用来关闭由FindFirstFile函数创建的一个搜索句柄,返回值非零表示成功,零表示失败。会设置GetLastError。
④用刚才得到的指针pMem对整个HOST文件进行操作,对HOST程序进行病毒感染。
⑤调用UnmapViewFile函数解除文件映射,传入参数是pMem。
⑥调用CloseHandle来关闭内存映射文件,传入参数是hMap。
⑦调用CloseHandle来关闭HOST文件,传入参数是hFile。
PE病毒感染其他文件的方法之一是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后的返回Host程序的代码,并修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面我们具体分析一下感染文件步骤(这种方法将会在后面的例子中有具体代码介绍)。
④写入本节(即病毒节)在文件中对齐后的大小。
⑤写入本节在文件中的开始位置。上节在文件中的开始位置+上节对齐后的大小=本节(即病毒)在文件中的开始位置。
⑥修改映像文件头中的节表数目。
⑦修改AddressOfEntryPoint(即程序入口点指向病毒入口位置),同时保存旧的AddressOfEntryPoint,以便返回HOST继续执行。
以下代码通常用于重定位:
call delta ;这条语句执行之后,堆栈顶端为delta在内存中的真正地址
delta: pop ebp ;这条语句将delta在内存中的真正地址存放在ebp寄存器中
lea eax,[ebp+(offset var1-offset delta)];这时eax中存放着var1在内存中的真实地址
在计算机病毒中,通常采用如下几个步骤:
①调用CreateFile函数打开想要映射的HOST程序,返回文件句柄hFile。
②调用CreateFileMapping函数生成一个建立基于HOST文件句柄hFile的内存映射对象,返回内存映射对象句柄hMap。
③调用MapViewOfFile函数将整个文件(一般还要加上病毒体的大小)映射到内存中。得到指向映射到内存的第一个字节的指针(pMem)。
(2) SetFilePointer该函数在一个文件中设置当前的读写位置。
(3) ReadFile该函数用来从文件中读取数据。
(4) WriteFile该函数用来将数据写入文件。
(5) SetEndOfFile该函数针对一个打开的文件,将当前文件位置设为文件末尾。
(6) GetFileSize该函数用来返回指定文件的长度。。
③从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环。
④从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数。
⑤如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值,假如该值为m。
有感染能力的病毒,可能有的病毒具有自动能力,但一般没有破坏性)。
一个Win32 PE病毒基本上需要具有以下几个功能,或者说需要解决如下几个问题。
call指令一般用来调用一个子程序或用来进行转跳,当这个语句执行的时候,它会先将返回地址(即紧接着call语句之后的那条语句在内存中的真正地址)压入堆栈,然后将IP置为call语句所指向的地址。当子程序碰到ret命令后,就会将堆栈顶端的地址弹出来,并将该地址存放在IP中,这样,主程序就得以继续执行。
信安综合实习报告
PE
一
(1)掌握PE病毒的传播原理。
(2)掌握MASM编译工具的使用。
(3)掌握Ollydbg调试工具的使用。
二
(1)Windows桌面系统。
(2) MASM32。
(3)Ollydbg调试工具。
(4)Stup_PE等PE文件修改工具。
三
本节主要介绍PE病毒的基本原理。本节中的例子均属于概念病毒(概念病毒主要是具
当pop语句执行完毕之后,ebp中存放病毒程序中标号delta处在内存中的真正地址。如果病毒程序中有一个变量var1,那么该变量在内存中的实际地址应该是ebp+(offsetvar1-offset delta),即“参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址”。有时候我们也采用(ebp-offset deltaห้องสมุดไป่ตู้+offset var1的形式进行变量var1的重定位。当然还有其它重定位的方法,但是它们的原理基本上都是一样的。
(9)将当前文件位置设为文件末尾。
(1) CreateFile该函数可打开和创建文件、管道、邮槽、通信服务、设备以及控制台,如执行成功,则返回值为文件句柄。返回值INVALID_HANDLE_VALUE则表示出错。即使函数成功,但若文件存在,且指定了CREATE_ALWAYS或OPEN_ALWAYS,GetLastError也会设为ERROR_ALREADY_EXISTS。
搜索目标文件是病毒技术中一个非常重要的功能。在Win32汇编中,通常用到了几个关键的API函数和一个WIN32_FIND_DATA结构:
FindFirstFile:该函数根据文件名查找文件,如果该函数执行成功,其返回一个搜索句柄。如果出错,返回一个INVALID_HANDLE_VALUE常数,一旦不再需要,应该用FindClose函数关闭这个句柄。
(1)判断目标文件开始的两个字节是否为“MZ”。
(2)判断PE文件标记“PE”。
(3)判断感染标记,如果已被感染过则跳出继续执行HOST程序,否则继续。
(4)获得Directory(数据目录)的个数,(每个数据目录信息占8个字节)。
(5)得到节表起始位置。(Directory的偏移地址+数据目录占用的字节数=节表起始位置)
⑥以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。
对病毒来说,通常是通过API函数名称来查找API函数地址。找到某一函数名称之后,可以通过与目标函数名直接进行字符串比较来判断是否找到所需要的函数;也可以事先对API函数名称进行相关计算得到一个特征值,以后每次找到某一函数名称之后,对该函数名称用同样的算法计算特征值,如果两值相等,则说明找到需要的目标函数。后者相对而言节省了空间,但可能耗费更多时间。
⑧更新SizeOfImage(内存中整个PE映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小)。
⑨写入感染标记(后面例子中是放在PE头中)。
(8)写入病毒代码到新添加的节中。
ECX =病毒长度
ESI =病毒代码位置(并不一定等于病毒执行代码开始位置)
EDI=病毒节写入位置(后面例子是在内存映射文件中的相应位置)
⑥搜索下一个文件(FindNextFile),转到C继续FindFile Endp
内存映射文件提供了一组独立的函数,这组内存映射文件函数将磁盘上的文件的全部或者部分映射到进程虚拟地址空间的某个位置,以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单。这样,对文件中数据的操作便是直接对内存进行操作,大大地提高了访问的速度,这对于计算机病毒来说,对减少资源占有是非常重要的。
如何获取API函数地址一直是病毒技术中的一个非常重要的话题。要获得API函数地址,我们首先需要获得Kernel32的基地址。