病毒防范与分析实训报告.docx
- 文档编号:25675502
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:35
- 大小:678.83KB
病毒防范与分析实训报告.docx
《病毒防范与分析实训报告.docx》由会员分享,可在线阅读,更多相关《病毒防范与分析实训报告.docx(35页珍藏版)》请在冰豆网上搜索。
病毒防范与分析实训报告
苏州市职业大学
实习(实训)任务书
名称:
病毒防范与分析实训
起讫时间:
2013年1月1日〜2013年1月6日
院系:
计算机工程系
班级:
10网络安全(CIW)
指导教师:
周莉、肖长水
系主任:
李金祥
实习(实训)目的和要求
掌握以网络管理员或者是网络安全专业人员的身份,实现对常见病毒的分析和预防方法。
要求掌握以下主要技能:
1.掌握文件型病毒原理、发现方法、查杀技巧;
2.掌握宏病毒的感染方式、工作原理和查杀方法;
3.掌握脚本病毒的一般性工作原理、常见的感染方式;
4.掌握邮件型病毒的传播方式、工作原理、查杀方法;
5.掌握计算机蠕虫的定义、攻击原理,了解漏洞溢出原理养成良好的编程习惯;
二、实习(实训)内容
[实训平台]
中软吉大网络信息安全教学实验系统
项目一、文件型病毒一PE病毒
1.实验目的
了解文件型病毒的原理,了解PE文件结构,了解文件型病毒的发现方法,了解病毒专杀工具
的基本原理
2.实验工具
LaborDayVirus、OllyDBG、PEExplorer、UltraEdit-32、VC++6.0
3.实验内容
一.验证利用OllyDBG修改病毒感染程序
(1)进入实验平台,单击工具栏“实验目录”按钮,进入文件型病毒实验目录。
新建文件夹
“text”,将文件夹“hei”下的heiO.exe(未感染病毒的可执行程序)复制到text目录中。
点击工具栏“LaborDayVirus”按钮,将目录中的LaborDayVirus.exe也复制到text目录中。
将系统时间调整为5月1日,双击text目录下LaborDayVirus.exe感染hei0.exe文件,观察hei0.exe感染病毒前后的大小变化。
我发现hei0.exe文件的大小由感染之前的3KB变成了7KB,结果如图
1-1、1-2所示:
文件(巳潟谊⑥查看㈣收懑凶XRCO
丈上I奘型
3KB应用程序ISKB应;用程月
地址(囚OC^&jpNL^AnWir-Lab^riisExp^iteYiru^tsxt
lheiO.exe\
>»■■■uir
ILaborDayVirus,axe
图1-1:
感染前heiO.exe的大小
■C:
\ExpNIS\Aml:
i¥ir-Lab\VirusExp\File¥iriis\text
文件®编辑⑥查馳收藏⑷工具①帮動⑹
lb捷乗ir文件夹|jx
地址(RQ匚:
^ExpNI3^AntiVir-Lab\Vtij5Exp\Fileviru£ltext
图1-2:
感染后hei0.exe的大小
(2)单击工具栏“OllyDBG”按钮启动ollyDbg1.10,单击文件菜单中的“打开”项,选择要修复的hei0.exe。
由于病毒修改了原程序的入口点,因此会有程序入口点超出代码范围的提示。
如图1-3所示:
氓OHyObg-血冊注肚-[CPU-主就程,極块-h杠D]
立件旧至春怕调就囚搞禅®选项£匚@H(w)
地址|HEY數瘵
I覆汇漏
UU4L划Cl
004(320100403Z03X4C32O9□0403213004C3214004f1219K4C321A0042220004C32£l00403227004C322AX4C3Z30□04“卸X4C3244□04C324E004C3255004C32SB□0403261rri4r32E7D0403S6AD04C3270
F吐;HEBK
MOVEBP,ISF
SUBE5F
(movofwatRj)mss;[ebt-isclFUEHEAZ
CALLheiO.00^03213
POP
MOVOWEDPTL常:
[EBF-1H],EAXfo(f盹
MOVEAX,DffORIFTRSS:
EBP-19C]
SUBEAX,:
9
MOVBWOEI
CMOVOTfORJ
CMQYQfflOKi
(ravdwoej
558BEC
GltC10030000
C78564FEF?
FF
E0
E0COOOCOOD
BUS
so
8BQ5
R3E8
8905
C785
CT05
CTB5
C74G
6kAl30003000MOVEAX,DWOMFTRFS:
[30]
6ESD
8B51
0995
8H5
C4FEFFFF
G4FEF?
FF
19
64FEFFFF
OCFEFFFF
eSFEF?
FF
eOFDF?
FF
U0OODOOOCMOVUKIBD
FTLSS:
IEBF-19ClIAX
FT!
SSJEBT-IF^],3
FTL55.rw-l^j,3
FT1SS:
[EBF-270][0
TTLS£:
[EBT-30J.0
OCFEFFFFOCFEF丁FFCCfSfEF?
FFt0FEF?
FF
MDVDWORDPTISS;[EVF-IF41EAX
MOVECKpDWOBDHRSS;[EBF-1F4]
MOVEDKJflTiRIPTEDS'[ECX-H71
MOVDVOKDFT1SS:
[EBF-198XEDI
MOVEAX.DTOR:
PTRSS.[EBf-198]
圄呵回列聖I兰1亚]旦~岂厂邑厂聖1團网回亘H
图1-3:
打开要修复的文件
单击“确定”按钮继续,程序会停在病毒修改后的程序入口点(hei0.exe的入口点为
0x00403200)上,在代码中找到最后一个jmp指令处(病毒感染完成后将跳转回原程序),按F2
设置断点,按F9运行,程序会在刚设置的jmp断点上中断,查看EAX寄存器的值(EAX=0x401000
注意上面提到的断点,下面还会用到),按F7单步执行到下一条指令地址,点选鼠标右键,选择
菜单中的“用ollyDump脱壳调试进程”,选中重建输入表方式1,方式2各脱壳一次,分别保存为
1.exe、2.exe。
测试两个程序不具有病毒的传染特性了,如图1-4、1-5、1-6所示:
起妇融L.'EE
ODOO
九口点咄址国亦
优阿灵址;阿'
r?
SKiSffi-S中惬于才僧讯址:
™锂尢小
刃曽…
|Virtual.
|Virtad,...
I血vSizi
|Offset|
.text
d4t&
□DOOCC6BDtJOUIJLLBinnoiim
OOZOIOMULUJ^ULMJoroiiooc
300ITC(BB
UUUILJLI2HwnniMO
ccodloq匚Goacoozo
LUJU2IJ0CI14UULIUUIUI
C010300DFIMKOT閒
UlYiJttmci-hP・L片p
LUJJ
I应重建辎人丧
届万式1:
霍内百压曲冲揑索JMPtWI]ICALL[API]
r方哉:
在胭壳丈卄中搜索BIXtAll疝称
佥钗优切U5B☆[K.G4.?
9]
图1-4:
用ollyDump脱壳调试进程
口Drl口
9KB应思鲂
13KB应用程修
・L:
\EMpHI5\,AHtj¥ir-Ldb\Viru»EKp\FlieHin
乞秫厶I大小I童更
图1-5:
保存脱壳文件
图1-6:
双击运行脱壳文件
•病毒感染机制分析
(1)
,将其分别重命名为
准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序heiO.ex_,hei.ex_,并复制到一个新的目录下用于调试、对比。
(2)进入实验平台,点击工具栏中的“PE'按钮,使用PEExplorer分别打开hei.ex_和hei0.ex_文件,对比两个文件入口点(OEP--AddressofEntryPoint)和ImageBase并分别记录。
OEP
ImageBase
heiO.ex_
00001000h
00400000h
hei.ex_
00005200h
00400000h
点击“View”菜单中的“SectionHeaders”进入SectionHeaders页面,比对SectionHeader的数据信息并记录到下面表格。
Virtual
Virtual
Sizeof
Pointto
Size
Address
RawData
RawData
hei0.ex_的.data
00000027h
00403000h
00000200h
00000800
h
hei.ex_的.data
00000388h
00404000h
00000200h
00002A00
h
由于一般文件型病毒只有代码段,数据和代码都存在一起。
所以可以断定hei.ex_的.data段
多出的数据即为病毒代码和数据。
(3)进入实验平台,单击工具栏中“UE'按钮,打开UltraEditor,选择“文件”菜单中的
“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对,可以发现在hei.ex_文件的OxaOO处开
始的数据块为存储于.data节的病毒代码。
如图1-7所示:
图1-7:
比较文件
「注」该段数据在.data节是因为heiO.ex_和hei.ex_的.data节都开始于各自文件偏移的PointtoRawData处。
这段数据是病毒代码是因为OxaOO-0x800+0x403000=0x403200(感
染病毒文件hei.ex_OEP的虚地址(VA))。
(4)使用UltraEditor打开hei.ex_定位光标到hei.ex_的.data块的PointtoRawData位置,并以16进制形式查找hei0.ex_的入口点(注意字节顺序),将查找到的数据的文件偏移记录QQQQ2AQ0ho如图1-8所示:
□DOUDLSEil:
□J
LU
□口
□□
DO
□□
□□
□□
HU
□口
uu
丄匚
□口
□□
UD
*
□DOuDlaLh:
UU
ua
UU
U'J
00
00
OU
OQ
oa
00
u」
uu
U_
00
u.
UL
□DOroibOlis
OT
00
00
oo
00
00
00
00
F0
oa
oo
oo
-to
00
oo
00
I4-BBi-*
□DOC匚
□J
g
oa
□0
oa
oa
口匚
Q口
oa
北
OD
oa
丄匚
□D
OD
QC
-
i»i・b■
□DOCOLdChs
QO
0口
oa
QU
OQ
oa
OQ
OQ
0Q
OD
oo
00
OD
00
00
;
I■Eb■■
□CiOODleDli;
DO
oa
m
oa
riri
□o
oa
2E
7吗
65
71
OD
on
OO
*
□DOODiXCli:
g
t-E
oa
g
。
口
xa
g
。
口
oa
2口
OD
口口
Q口
□4
oo
□D
I4-BB»
0D0OD20QJ1:
□U
oa
OQ
u_
oa
oa
aa
oa
oa
口口
OQ
oo
20
□D
OD
6D
p■BB■■
OOOOD21D11;
2E
%
E
Bl
fll
00
00
ra
ri"
OO
oo
00
:
00
00
.匚datI?
tn
2
oa
OO
加
24
g
□a
oa
oa
OD
60
口口
DD
OD
OD
■
.--..j
□DDUUJ3L11:
uu
ULI
00
0j
10
oa
00
7」
鼻
昶
bl
Tl
bl
00
UD
UL
-
i・■・Ij■
Et9
03
00'
OO
00
40
00
00
00
oe
OO
?
+..0*
□DOOD2^Dh:
El'
□口
GO
g
0口
□口
□a
oa
口口
口口
OD
OO
4D
OD
OD
CD
”
■
2E
72
73
73
63
oa
00
00
oa
OD
OQ
0Q
SD
00
00
;
□DOO027Ch;
03
LA
Q匚
Q2
Qd
2C
0口
OQ
oo
OQ
□D
oc
0D
・,
□D0CD2S匚11!
:
01
□□
□□
oa
oo
□□
F~
oa
oa
□□
□□
□□
□□
OD
OD
”■!
F
nnrwnn^anih・
nn
nn
nn
m
nn
nn
nn
nn
nn
nn
nn
nn
nn
nn
nn
nn
图1-8:
查找hei0.ex_的入口点
(5)定位上面例子中
hei.ex_的jmp断点,在jmp指令上面会发现如下的汇编代码:
计算宿主文件
原入口地址,跳转>上匕执行宿主程序
hei.00400000
004047F36A00PUSH0
004047F5FF9534FEFFFFCALLDWORDPTRSS:
[EBP-1CC]004047FB898558FDFFFFMOVDWORDPTRSS:
[EBP-2A8],EAX
004048018B4DFCMOVECXQWORDPTRSS:
[EBP-4]004048048B11MOVEDX,DWORDPTRDS:
[ECX]
00404806039558FDFFFFADDEDX,DWORDPTRSS:
[EBP-2A8]
0040480C8995D4FDFFFFMOVDWORDPTRSS:
[EBP-22C],EDX
004048128B85D4FDFFFFMOVEAX,DWORDPTRSS:
[EBP-22C]
00404818FFE0JMPEAX;最后跳转到EAX执行源程序
0040481A8BE5MOVESP,EBP;灰色区域的代码可以用做查找原入口点的标记
;因为其操作与立即数无关,不会因宿主程序改动
0040481C0010
0040481E0000
004048200000
004048220000
;而变化,其后的病毒数据存储原始入口点
ADDBYTEPTRDS:
[EAX],DLADDBYTEPTRDS:
[EAX],ALADDBYTEPTRDS:
[EAX],ALADDBYTEPTRDS:
[EAX],AL
0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区,0x1000为hei0.exeOEP的
RVA0x1000在反汇编代码中的表示是0010。
(6)进入实验平台,单击工具栏中的“实验目录”按钮,利用上面的方法分别对文件分析目录下的已感染和未感染文件进行调试,注意比对感染病毒文件和原文件特征,将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。
文件
原文件的
入口地址
感染病毒文件的
入口地址
感染病毒文件的最后
一个跳转目的地址
mspaint.exe
01054DDD
01054E12
01054E18
notepad.exe
010145F3
01014612
01014618
wordpad.exe
01004FF3
01005012
01005018
(7)通过以上的分析,就可以初步断定,该病毒的感染方式是:
计算宿主文件原入口
地址跳转执行宿主程序,最后跳转到EAX执行源程序。
项目二、宏病毒-Word宏病毒
1.实验目的
理解Word宏病毒的感染方式,理解Word宏病毒的工作原理,掌握Word宏病毒的杀毒方法
2.实验工具
MicrosoftWord2003
3.实验内容
一•病毒感染
(1)主机A进入实验平台,点击工具栏中“实验目录”按钮,进入宏病毒实验目录。
双击打开Sufferer1.doc、Sufferer2.doc和Normal.dot模板(位于目录C:
\Documentsand
Settings\Administrator\ApplicationData\Microsoft\Templates下),观察程序未感染病毒时
的正常现象,关闭文件。
填写表33-1-1o
「注」默认状态下ApplicationData文件夹是隐藏的。
打开“资源管理器”,依次单击菜单
栏“工具”丨“文件夹选项”菜单项,选择“查看”选项卡,选中“显示所有文件和文件夹”,单
击“确定”按钮,显示隐藏文件。
(2)主机A打开实验目录中的MothersDayVirus.doc,然后关闭文件。
此时病毒已感染到Normal.dot模板上。
填写表33-1-1。
(3)主机A打开Sufferer1.doc,然后关闭文件,此时病毒感染到Sufferer1.doc上,观察
关闭文档时的现象。
填写下表。
如图2-1所示:
状态
文件大小
Sufferer1.doc感染前
11KB
Sufferer1.doc感染后
77KB
Normal.dot感染前
32KB
Normal.dot感染后
97KB
%pl^tiS\Anci¥ir-ldb\Virus\Macro¥rus
戈忸日潴腿(E)酉若址l收澈俎IM(D帮勃凹
.后运▼丿二廿[/翔f文件戎>X*9
鈕址迫)_、C\£tpNtSUr*il/if-Lab\Viru£\HacreVru=名称亠—一I大出癌
l^cthersDa^Virus.doc32 i^lsjfftferl.dDC: 32K6MizrosoftWord 血】SuFFermiNd尤11 图2-1: 感染后大小变化 二.病毒的传播 「注」在操作此步骤时不能打开其它word文档,否则实验不会成功。 (1)主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc,观察程序未感染病毒时的正常现象,然后关闭文件。 (2)主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。 「注」OutlookExpress具体配置方法,可参考附录A—OutlookExpress配置方法。 (3)主机B接收此邮件,并将附件保存在宏病毒实验目录下,替换原来的Suffered.doc, 打开此附件(Sufferer1.doc),然后关闭。 此时病毒感染到主机模板Normal.dot上。 (4)主机B打开Sufferer2.doc”,然后关闭。 此时病毒已经感染到Sufferer2.doc上,观察 关闭文档时的现象。 提示“计算机已感染母亲节病毒”,如图2-2所示: 图2-2: 关闭提示 三•分析被感染文件 (1)主机A、主机B都打开Sufferer2.doc,然后关闭并再次打开,使用快捷键“Alt+F11” 打开VisualBasic编辑器。 (2)在VisualBasic编辑器的“工程”视图中打开“Normal'MicrosoftWord对象\MothersDay”和“Project(Sufferer2)\MicrosoftWord对象\MothersDay”,查看病毒源码。 如图2-3和图2-4所示: Ui.FiViru^JI&nwmSlriii^ DLt>fctIL*eD^r-UI»eJii^Lf^i.'sbLaJI.Cwile*BiSttEtiif Ult>Ekrr*lledpLat-sVlrwExwt-Cm3cAsEtrmu fitTP-ls^Ydot1AzStrlxl^: Hlii>ViruslELiTalAAtSlri%* 11lntLTelJoe^Cimt7ifLiML-ng IIl1»NkrT-tLI"irip^ii-dCD^eLcAiLkic 山,CeikAs^tranz BlTt'/irusSr: 匸o1或工二通血AsIutager Hli>-/ituilDstToifelc-J.uh虹Inl-tgM Hlv>IfFii'HAiSfinl^nr iwtBirriiiiritTsr'^tStArlCnd! : -二1□CTTiftntJ-'pfiEl? i &te>Viru5Si«riCo4e二rSuiLit白as? I〕" 'MNcHrnrhal'lodiersyay SubAntoCltze0UTi血『圮L&^W14Ekzl 号alAhCti*&Dizunqiitltcnl-JL±tlfriDecunan.t.rdjset.V3CDtpPLftnl».(j) Sai4茁eUm讥=»WWr Ilan(3) 'ikm«Ll牡耐二呂i7i±nL.m加已-"JUtiimD尊艸it曲UlsL』#■- '^HffirtctjvBDiscm-ciStiufRHlItAcliveBn7'jntT1hi1bwr* BnJIf '盘堆毗Lj*eOodRiertfl-JfrrjrriJ. "Ttii±1ncw^Skt/ |1曲杲青! =VifvxHuib詬viVnrniiirriiplsic-I1«h1.Van«■=Vir«.-Jf«nr7}mi jj= 图2-3: 查看Normal中MothersDay的病毒源码 图2-4: 查看Suffered中MothersDay的病毒源码 (3)分析两份代码,理解MothersDayVirus的工作过程,关闭Sufferer2.doc。 两份文件代码的第一行是否相同? 代码第一行代表什么意义? 两份文件代码的第一行不同,MothersDay第一行: SubAutoClose(); Suffered第一行SubDocumentOpen(): 代码第一行代
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 病毒 防范 分析 报告