实验2病毒行为分析实验Word文档下载推荐.docx
- 文档编号:18905143
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:9
- 大小:253.49KB
实验2病毒行为分析实验Word文档下载推荐.docx
《实验2病毒行为分析实验Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实验2病毒行为分析实验Word文档下载推荐.docx(9页珍藏版)》请在冰豆网上搜索。
二、实验任务
在虚拟机里上兴软件配置好服务端,SRENG软件进行系统诊断,分析用不同配置方式配置服务端的情况下,分析病毒行为特征。
三、实验环境
1台windowsxpsp3机器,虚拟机上运行windowsxpsp2。
三、运用到的软件
上兴、SRENG,Ultraeditcompare
四、知识点
同前一实验
五、运用到的软件
上兴远程控制,SRENG,ultracompare
软件简介
上兴控制软件:
远程控制木马
SREng:
全名SystemRepairEngineer(SREng):
一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。
SREng的日志能提供更详细的诊断信息。
因为下载的软件有使用期限问题,该软件需实验时重新下载,SREng官方下载地址
ultraeditcompare是文件比较工具,也可用其他软件。
六、实验步骤
所有实现在xp虚拟机里进行[或就在真实机里做]
每次木马执行分析完后,做下一实验时,还原干净的虚拟机或保证木马没有后,再做后面的出实验。
杀的方法见前一实验。
下图是配置上兴木马服务端的配置界面,要求你们,在不同配置情况下[各单选框分别选中和不选中情况的各种情况],在自己的出机器里执行,分析执行后的木马行为。
[正常情况应是你同学配服务端,你不知道他怎么配的你来分析木马行为。
现在你自己配的,当然知道怎么分析怎么杀,考试时你就不知道到底是什么病毒了]
实验一:
不更改服务端任何配置[同前一实验]
步骤1:
用SRENG获取中木马前的干净系统诊断报告log1
步骤2:
生成木马服务端什么
步骤3:
对中木马后的虚拟机用SRENG获取系统诊断报告log2
步骤4:
用ultracompare比较两次的诊断日志,获取木马存在的特征
步骤5:
用语言给出木马行为的特征[参考实验指导书最后的如何描述病毒的行为特征的规范格式。
注意木马种植后IE浏览器对木马的作用要描述出]并给出关键截图。
并给出你的杀的出办法。
实验二:
将“使用IE浏览器进程服务端”的勾去掉再重做实验一
用SRENG获取系统诊断报告log3
Ultracompare比较log3和log1
用语言给出木马行为的特征有什么变化,并给出关键截图。
还原干净的虚拟机做后面的实验3
实验三:
将“使用IE浏览器进程服务端”的勾还原打上
将“插system32目录的文件系统”勾打上
再重做实验一
用SRENG获取系统诊断报告log4
Ultracompare比较log4和log1
还原干净的虚拟机做后面的实验4
实验四:
将“插system32目录的文件系统”勾还原不选
将“使用无木马启动特征”勾选中打上
用SRENG获取系统诊断报告log5
Ultracompare比较log5和log1
还原干净的虚拟机做后面的实验5
实验五:
将“使用无木马启动特征”勾还原不选
将“2k/xp/2003下隐藏进程”勾打上
用SRENG获取系统诊断报告log6
Ultracompare比较log6和log1
实验六
Calc.exe对木马起什么作用,请用截图说明
附熊猫烧香病毒行为说明的例子:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunUserinit"
C:
\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:
FuckJacks
键值:
"
\WINDOWS\system32\FuckJacks.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svohost
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:
\autorun.inf1KBRHS
\setup.exe230KBRHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE等程序。
不更改服务端任何配置
杀的出办法。
v
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 病毒 行为 分析