病毒防范与分析实训报告.docx

病毒防范与分析实训报告.docx

《病毒防范与分析实训报告.docx》由会员分享，可在线阅读，更多相关《病毒防范与分析实训报告.docx（22页珍藏版）》请在冰豆网上搜索。

病毒防范与分析实训报告

苏州市职业大学

实习（实训）任务书

名称：

病毒防范与分析实训

起讫时间：

2013年1月1日~2013年1月6日

院系：

计算机工程系

班　　级：

10网络安全（CIW）

指导教师：

周莉、肖长水

系主任：

李金祥

实习（实训）目的和要求

掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。

要求掌握以下主要技能：

1.掌握文件型病毒原理、发现方法、查杀技巧；

2.掌握宏病毒的感染方式、工作原理和查杀方法；

3.掌握脚本病毒的一般性工作原理、常见的感染方式；

4.掌握邮件型病毒的传播方式、工作原理、查杀方法；

5.掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；

二、实习（实训）内容

[实训平台]

中软吉大网络信息安全教学实验系统

项目一、文件型病毒—PE病毒

1.实验目的

了解文件型病毒的原理，了解PE文件结构，了解文件型病毒的发现方法，了解病毒专杀工具的基本原理

2.实验工具

LaborDayVirus、OllyDBG、PEExplorer、UltraEdit-32、VC++6.0

3.实验内容

一．验证利用OllyDBG修改病毒感染程序

（1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。

新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。

点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。

将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。

我发现hei0.exe文件的大小由感染之前的3KB变成了7KB，结果如图1-1、1-2所示：

图1-1：

感染前hei0.exe的大小

图1-2：

感染后hei0.exe的大小

（2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。

由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。

如图1-3所示：

图1-3：

打开要修复的文件

单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0x00403200）上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。

测试两个程序不具有病毒的传染特性了，如图1-4、1-5、1-6所示：

图1-4：

用ollyDump脱壳调试进程

图1-5：

保存脱壳文件

图1-6：

双击运行脱壳文件

二．病毒感染机制分析

（1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。

（2）进入实验平台，点击工具栏中的“PE”按钮，使用PEExplorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP--AddressofEntryPoint）和ImageBase并分别记录。

OEP

ImageBase

hei0.ex_

00001000h

00400000h

hei.ex_

00005200h

00400000h

点击“View”菜单中的“SectionHeaders”进入SectionHeaders页面，比对SectionHeader的数据信息并记录到下面表格。

VirtualSize

VirtualAddress

SizeofRawData

PointtoRawData

hei0.ex_的.data

00000027h

00403000h

00000200h

00000800h

hei.ex_的.data

00000388h

00404000h

00000200h

00002A00h

由于一般文件型病毒只有代码段，数据和代码都存在一起。

所以可以断定hei.ex_的.data段多出的数据即为病毒代码和数据。

（3）进入实验平台，单击工具栏中“UE”按钮，打开UltraEditor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开

始的数据块为存储于.data节的病毒代码。

如图1-7所示：

图1-7：

比较文件

「注」该段数据在.data节是因为hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的PointtoRawData处。

这段数据是病毒代码是因为0xa00-0x800+0x403000=0x403200（感染病毒文件hei.ex_OEP的虚地址（VA））。

（4）使用UltraEditor打开hei.ex_定位光标到hei.ex_的.data块的PointtoRawData位置，并以16进制形式查找hei0.ex_的入口点（注意字节顺序），将查找到的数据的文件偏移记录00002A00h。

如图1-8所示：

图1-8：

查找hei0.ex_的入口点

（5）定位上面例子中hei.ex_的jmp断点，在jmp指令上面会发现如下的汇编代码：

004047F36A00PUSH0

004047F5FF9534FEFFFFCALLDWORDPTRSS:

[EBP-1CC]

004047FB898558FDFFFFMOVDWORDPTRSS:

[EBP-2A8],EAX

004048018B4DFCMOVECX,DWORDPTRSS:

[EBP-4]

004048048B11MOVEDX,DWORDPTRDS:

[ECX]

00404806039558FDFFFFADDEDX,DWORDPTRSS:

[EBP-2A8];hei.00400000

0040480C8995D4FDFFFFMOVDWORDPTRSS:

[EBP-22C],EDX

004048128B85D4FDFFFFMOVEAX,DWORDPTRSS:

[EBP-22C]

00404818FFE0JMPEAX;最后跳转到EAX执行源程序

0040481A8BE5MOVESP,EBP;灰色区域的代码可以用做查找原入口点的标记

;因为其操作与立即数无关，不会因宿主程序改动

;而变化，其后的病毒数据存储原始入口点

0040481C0010ADDBYTEPTRDS:

[EAX],DL

0040481E0000ADDBYTEPTRDS:

[EAX],AL

004048200000ADDBYTEPTRDS:

[EAX],AL

004048220000ADDBYTEPTRDS:

[EAX],AL

0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区，0x1000为hei0.exeOEP的RVA，0x1000在反汇编代码中的表示是0010。

（6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对文件分析目录下的已感染和未感染文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。

文件

原文件的

入口地址

感染病毒文件的

入口地址

感染病毒文件的最后一个跳转目的地址

mspaint.exe

01054DDD

01054E12

01054E18

notepad.exe

010145F3

01014612

01014618

wordpad.exe

01004FF3

01005012

01005018

（7）通过以上的分析，就可以初步断定，该病毒的感染方式是：

计算宿主文件原入口地址跳转执行宿主程序，最后跳转到EAX执行源程序。

项目二、宏病毒-Word宏病毒

1.实验目的

理解Word宏病毒的感染方式，理解Word宏病毒的工作原理，掌握Word宏病毒的杀毒方法

2.实验工具

MicrosoftWord2003

3.实验内容

一．病毒感染

（1）主机A进入实验平台，点击工具栏中“实验目录”按钮，进入宏病毒实验目录。

双击打开Sufferer1.doc、Sufferer2.doc和Normal.dot模板（位于目录C:

\DocumentsandSettings\Administrator\ApplicationData\Microsoft\Templates下），观察程序未感染病毒时的正常现象，关闭文件。

填写表33-1-1。

「注」默认状态下ApplicationData文件夹是隐藏的。

打开“资源管理器”，依次单击菜单栏“工具”｜“文件夹选项”菜单项，选择“查看”选项卡，选中“显示所有文件和文件夹”，单击“确定”按钮，显示隐藏文件。

（2）主机A打开实验目录中的MothersDayVirus.doc，然后关闭文件。

此时病毒已感染到Normal.dot模板上。

填写表33-1-1。

（3）主机A打开Sufferer1.doc，然后关闭文件，此时病毒感染到Sufferer1.doc上，观察关闭文档时的现象。

填写下表。

如图2-1所示：

状态

文件大小

Sufferer1.doc感染前

11KB

Sufferer1.doc感染后

77KB

Normal.dot感染前

32KB

Normal.dot感染后

97KB

图2-1：

感染后大小变化

二．病毒的传播

「注」在操作此步骤时不能打开其它word文档，否则实验不会成功。

（1）主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc，观察程序未感染病毒时的正常现象，然后关闭文件。

（2）主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。

「注」OutlookExpress具体配置方法，可参考附录A—OutlookExpress配置方法。

（3）主机B接收此邮件，并将附件保存在宏病毒实验目录下，替换原来的Sufferer1.doc，打开此附件（Sufferer1.doc），然后关闭。

此时病毒感染到主机模板Normal.dot上。

（4）主机B打开Sufferer2.doc”，然后关闭。

此时病毒已经感染到Sufferer2.doc上，观察关闭文档时的现象。

提示“计算机已感染母亲节病毒”，如图2-2所示：

图2-2：

关闭提示

三．分析被感染文件

（1）主机A、主机B都打开Sufferer2.doc，然后关闭并再次打开，使用快捷键“Alt+F11”打开VisualBasic编辑器。

（2）在VisualBasic编辑器的“工程”视图中打开“Normal\MicrosoftWord对象\MothersDay”和“Project（Sufferer2）\MicrosoftWord对象\MothersDay”，查看病毒源码。

如图2-3和图2-4所示：

图2-3：

查看Normal中MothersDay的病毒源码

图2-4：

查看Sufferer2中MothersDay的病毒源码

（3）分析两份代码，理解MothersDayVirus的工作过程,关闭Sufferer2.doc。

两份文件代码的第一行是否相同？

代码第一行代表什么意义？

两份文件代码的第一行不同，MothersDay第一行：

SubAutoClose（）；

Sufferer2第一行SubDocument_Open（）___；

代码第一行代表宏病毒的发生时机，分别代表关闭文档时自动运行和关闭打开文档时

自动运行。

病毒代码感染模板和当前活动文档时病毒宏名分别是什么？

病毒代码感染模板病毒宏名是AutoClose，当前活动文档时病毒宏名是Document_Open。

模板和当前活动文档中的病毒宏分别在什么时候运行？

模板中的病毒宏在文档关闭时自动运行，文档中的病毒宏在文档打开时自动运行。

当模板文件被感染后，为什么无毒文件第一次打开时没有病毒提示关闭时有病毒提示，而第二次打开和关闭时都有病毒提示？

因为MothersDayVirus病毒执行时，首先判断当前文档和Normal.dot是否感染，然后判断当前文档和Normal.dot是否感染，如果当前文档未被感染，清空当前文档宏命令，并将病毒复制到当前文档，同时将宏重命名为Document_Open，然后禁用Word的宏编辑功能，接着添加自动保存功能，然后病毒再开始执行，弹出对话框，最后返回到程序正常路径执行，所以无毒文件第一次打开时没有病毒提示，关闭时病毒已经感染了文件，所以弹出病毒提示对话框。

第二次打开时文件已经感染，所以打开和关闭时都有病毒提示对话框。

填写下表。

病毒传播方向

发生时机

染毒文件－>Normal.dot

文件关闭时

Normal.dot－>普通文件

文件打开时

列举几种宏病毒的防止措施：

使用VBA、VBS创建杀毒宏

项目三、邮件型病毒-Outlook病毒

1.实验目的

了解邮件型病毒的传播方式，了解邮件型病毒的工作原理，掌握邮件型病毒的杀毒方法

2.实验工具

MicrosoftOutlook2003，MicrosoftWord2003

3.实验内容

一．观察病毒感染现象

（1）配置Outlook2003，建立邮件帐户

主机A、B配置Outlook2003（参见附录A—OutlookExpress配置方法），建立邮件帐户。

主机A打开OutLook2003，单击“文件”|“新建”|“联系人”，在右侧的“电子邮件”栏中填入主机B的电子邮件地址，单击左上方的“保存并关闭”完成联系人的添加。

如图3-1所示：

图3-1：

添加主机B为联系人

（2）查看病毒感染标记

主机A打开注册表编辑器，查看“HKEY_CURRENT_USER\Software\Microsoft\Office\”项中是否有键名为“Melissa?

”，键值为“...byKwyjibo”的键？

没有。

（3）设置发作条件观察病毒发作现象

主机A单击工具栏“实验目录”按钮，进入邮件病毒实验目录。

打开病毒文档MVirus.doc，此时OutLook2003的安全机制会连续出现2个安全提示：

“有一个程序正试图访问保存于Outlook的电子邮件地址。

是否允许该操作？

……”,选中“允许访问”后单击“是”。

如图3-2所示：

图3-2：

安全提示

“有一个程序正试图以您的名义自动发送电子邮件。

是否允许该操作？

……”，单击“是”。

如图3-3所示：

图3-3：

安全提示

这样当前文档即被病毒自动发送给对方（当前日期数和当前时间分钟数相同时，如当前日期为11月8日即将当前时间的分钟数修改为08。

则在文档中输出以下内容“Twenty-twopoints,plustriple-word-score,plusfiftypointsforusingallmyletters.Game'sover.I'mouttahere.”）。

（4）重新查看病毒感染标记

主机A在注册表编辑器中按快捷键“F5”刷新查看，在“HKEY_CURRENT_USER\Software\Microsoft\Office\”项中是否会有键名为“Melissa?

”，键值为“...byKwyjibo”的键？

是。

（5）查看病毒邮件发作现象

主机B打开Outlook2003，按“F9”键来接收被病毒发出的邮件，打开收件箱中的病毒邮件，双击附件名称，出现提示信息“想要打开文件还是想将它保存到计算机中？

”，单击“打开”即出现前述Outlook2003安全提示，参照前述进行处理，病毒文档又将被发送给B的地址簿中前50位联系人。

如图3-4、3-5所示：

图3-4：

打开收件箱中的文件

图3-5：

出现提示信息

二．调试代码了解工作原理

（1）查看病毒代码

感染病毒的主机打开病毒文档“MVirus.doc”，单击菜单栏“工具”|“宏”|“VisualBasic编辑器”或使用快捷键“Alt+F11”打开VisualBasic编辑器。

在此编辑器中即可以看到病毒代码。

将病毒代码复制到记事本中，然后关闭病毒文档“MVirus.doc”。

如图3-6所示：

图3-6：

将病毒代码复制到记事本中

（2）在注册表中删除病毒感染标记

感染病毒的主机打开注册表编辑器，删除“HKEY_CURRENT_USER\Software\Microsoft\Office\”项中键名为“Melissa?

”，键值为“...byKwyjibo”的键。

如图3-7所示：

图3-7：

删除“Melissa?

”键

（3）调试代码

感染病毒的主机在实验目录C:

\ExpNIS\AntiVir-Lab\Virus\MailVirus\下新建一个任意文件名的Word文件。

如图3-8所示：

图3-8：

新建Word文件

打开新创建文档的VisualBasic编辑器，找到编辑器左上部“工程－Project”工具栏中的“Project（新建Word文件名）”|“MicrosoftWord”|“ThisDocument”对象，双击此对象打开编辑区并将病毒代码复制到此区域中，通过单击“调试”|“逐语句”或者按快捷键“F8”来逐句调试代码并配合代码注释了解其工作过程。

如图3-9所示：

图3-9：

打开新创建文档的VisualBasic编辑器

在调试过程中，当出现提示信息“此时不能进入中断模式”时，单击“结束”重新进行调试。

如图3-10所示：

图3-10：

出现提示信息“此时不能进入中断模式”

重新开始调试后：

查看病毒感染标记。

观察MicrosoftWord对象名是否有变化。

观察代码的运行路径是否有变化。

在病毒代码中有部分被注释掉的语句，这些语句是病毒的自我保护措施，它们使病毒执行完操作后将自己删除。

用户可以去掉注释，运行代码查看效果。

如图4-12所示：

MicrosoftWord对象名变为“Mellisa”。

去掉代码注释，如图4-13所示：

图4-12：

对象名变为“Mellisa”

图4-13：

去掉注释代码

项目四、蠕虫病毒-蠕虫仿真

1.实验目的

了解计算机蠕虫的定义；了解计算机蠕虫攻击原理；了解漏洞溢出原理养成良好的编程习惯

2.实验工具

Worm_srv、Worm_body、网络协议分析器

3.实验内容

一．验证病毒感染过程

（1）确定主机A与B处于同一网段内。

（2）主机A进入实验平台，单击工具栏“实验目录”按钮进入蠕虫病毒实验目录，执行漏洞程序test_virus_body.exe，并启动协议分析器，设置过滤器仅捕获ARP数据包。

主机B同样进入蠕虫病毒实验目录，执行蠕虫模拟程序virus_main.exe，这时主机B会不断弹出网页。

如图4-1所示：

图4-1：

主机B不断弹出网页

（3）主机A单击协议分析器工具栏刷新按钮，查看ARP协议相关数据，会发现存在很多以主机B的IP地址为源的ARP请求数据包。

请观察被探测IP地址顺序，它们大多数是___连续___（连续/非连续）的。

如图4-2所示：

图4-2：

查看ARP协议相关数据

（4）主机A等待被蠕虫病毒探测，直到被感染（成功现象为：

主机A被病毒感染，也像主机B一样不断弹出网页，说明已经被病毒感染成功），主机A关闭test_virus_body.exe程序，并在“任务管理器”的“进程”页面中选中virus_main进程然后点下面的“结束进程”按钮，结束激活的病毒程序。

如图4-3所示：

图4-3：

结束激活的病毒程序

（5）主机A检查系统注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\run下是否有名为“LookAtMe”的注册键值，有则使用该项右键菜单中的删除命令删除。

如图4-4所示：

图4-4：

删除“LookAtMe”注册键

（6）主机A查看test_virus_body.exe文件所在目录下____是_____（是／否）多重新生成了一个名为virus_main.exe的可执行文件（查看文件修改日期）。

”如图4-5所示：

图4-5：

目录多了一个名为virus_main.exe的可执行文件

「说明」任务管理器可以使用ctrl+alt+del组合键启动安全管理对话框选择“任务管理器”即可启动；在虚拟机中这个组合键被“ctrl+alt+insert”代替了，以避免和主机按键上的冲突；也可以使用任务栏右键菜单中的“任务管理器”来启动任务管理器。

二．验证杀毒工具效果

主机A、B启动实验目录下的virus_main.exe，点击工具栏中的“杀毒工具”按钮，启动杀毒工具wvk.exe（C:

\ExpNIS\AntiVir-Lab\VirusExp\virus\wvk.exe），记录实验现象：

显示病毒清除成功，查看注册表中的“LookAtMe”病毒特征键值是否存在不存在。

如图4-6、图4-7所示：

图4-6：

用杀毒工具wvk.exe杀毒成功

图4-7：

没有“LookAtMe”病毒特征键值

完成项目文档

（1）项目计划

（2）项目实施文档

（3）项目总结

三、实习（实训）方式

■集中□分散□校内□校外

四、实习（实训）具体安排

序号

教学内容题目

学时分配

小计

讲课

实训

1

项目一、文件型病毒—PE病毒

5

2

3

2

项目二、宏病毒-Word宏病毒

5

2

3

3

项目三、邮件型病毒-Outlook病毒

5

2

3

4

项目三、邮件型病毒-Outlook病毒

5

2

3

5

撰写实训报告

4

1

3

合计

24

9

15

五、实习（实训）报告内容（有指导书的可省略）

1、实训地点：

信2-510

2、实训时间：

2012年12月29日

3、小组成员：

胡帅帅

4、具体内容：

文件型病毒—PE病毒、宏病毒-Word宏病毒、邮件型病毒-Outlook病毒、蠕虫病毒-蠕虫仿真。

5、实训总结：

通过本次上机实训，我掌握了以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防的方法。

掌握了文件型病毒原理、发现方法、查杀技巧。

掌握了宏病毒的感染方式、工作原理和查杀方法。

掌握了脚本病毒的一般性工作原理、常见的感染方式。

掌握了邮件型病毒的传播方式、工作原理、查杀方法。

掌握了计算机蠕虫的定义、攻击原理，了解了漏洞溢出原理养成良好的编程习惯。