防灾科技学院病毒实验.docx
- 文档编号:7738728
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:26
- 大小:1.89MB
防灾科技学院病毒实验.docx
《防灾科技学院病毒实验.docx》由会员分享,可在线阅读,更多相关《防灾科技学院病毒实验.docx(26页珍藏版)》请在冰豆网上搜索。
防灾科技学院病毒实验
脚本病毒实验
【实验环境】
Windows实验台
【实验步骤】
打开Windows实验台,点击桌面“病毒实验”,选择“脚本病毒实验”,进入其实施面板,如图2.4.12所示。
图2.4.12
一、脚本病毒代码分析和查看
分别选择相应的脚本文件,学生用户即可查看脚本病毒代码。
在界面左侧功能选择区选择实验名称,用户在界面右侧将会看到该脚本病毒的全部代码。
如图2.4.13所示。
图2.4.13
学生用户如需要编辑脚本病毒代码,用户在界面右侧将会看到该脚本病毒的全部代码,在此基础上编辑代码,将会生成用户自定义的脚本病毒,点击“保存脚本”按钮将把编辑好的脚本文件永久保存,如果编辑过程出现错误或者异常,点击“重置脚本”将恢复最初的脚本代码。
实验进行前,要先点击“初始化病毒工具”按钮,对其实验所需的工具进行初始化;在实验过程中,如果所需的工具被杀毒软件查杀,要再次点击“初始化病毒工具”按钮,对工具重新进行初始化,以便实验顺利进行。
脚本实现的步骤为:
执行(或恢复)脚本;关闭EXPlorer进程;打开EXPlorer进程;查看脚本是否生效。
二、病毒攻击实验1----复制病毒副本到系统文件夹
(1)在界面左侧功能选择区选择实验名称“复制病毒副本到系统文件夹”。
(2)开始进行实验,运行脚本病毒代码,然后打开系统目录,如图2.4.14所示,可以看到病毒副本(Win32system.vbs)已经出现。
图2.4.14
(3)开始恢复实验,运行恢复代码,如图2.4.15所示;然后再次查看系统目录,用户会发现刚刚出现的病毒副本文件已经被清除。
图2.4.15
三、病毒攻击实验2----复制病毒副本到启动菜单
(1)在界面左侧功能选择区选择实验名称“复制病毒副本到启动菜单”。
(2)开始进行实验,运行脚本病毒代码,然后打开系统目录,可以看到开始菜单启动项中新增加了脚本病毒Win32system.vbs,如图2.4.16所示,下次开机将会自动执行发作。
图2.4.16
(3)开始恢复实验,运行恢复代码,然后再次查看系统目录,用户会发现刚刚出现的病毒副本文件已经被清除。
四、病毒攻击实验3----禁止“运行”菜单
(1)在界面左侧功能选择区选择实验名称“禁止运行菜单”。
(2)开始进行实验,运行脚本病毒代码,然后打开开始菜单,如图2.4.17所示,“运行”已被禁止。
图2.4.17
(3)开始恢复实验,运行恢复代码,然后再次打开开始菜单,选择“运行”,可以看到运行功能已经恢复。
五、病毒攻击实验4----禁止“关闭系统”菜单
(1)在界面左侧功能选择区选择实验名称“禁止关闭系统菜单”。
(2)开始进行实验,运行脚本病毒代码,然后打开开始菜单,可以发现“关闭系统”菜单已经消失,如图2.4.18所示。
图2.4.18
(3)开始恢复实验,运行恢复代码,然后再次打开开始菜单,可以看到“关闭计算机”功能已经恢复。
六、病毒攻击实验5----禁止显示桌面所有图标
(1)在界面左侧功能选择区选择实验名称“禁止显示桌面所有图标”。
(2)开始进行实验,运行脚本病毒代码,执行系统注销操作,可以发现桌面所有图标均已经消失,如图2.4.19所示。
图2.4.19
(3)开始恢复实验,运行恢复代码,可以发现桌面所有图标均已经恢复。
七、病毒攻击实验6----禁止“任务栏”和“开始”
(1)在界面左侧功能选择区选择实验名称,禁止“任务栏”和“开始”。
(2)开始进行实验,运行脚本病毒代码,然后右键点击开始菜单属性,会有如图2.4.110所示的提示信息,禁止修改任务栏信息。
图2.4.110
(3)开始恢复实验,运行恢复代码,再次修改开始菜单,功能已经恢复。
八、病毒攻击实验7----禁止“控制面板”
(1)在界面左侧功能选择区选择实验名称“禁止控制面板”。
(2)开始进行实验,运行脚本病毒代码,选择“开始”菜单下的“设置”,可以看到“控制面板”项消失了,如图2.4.111所示。
图2.4.111
(3)开始恢复实验,运行恢复代码,选择“开始”菜单下的“设置”,可以看到“控制面板”项已经恢复了。
九、病毒攻击实验8----修改“IE”默认页
(1)在界面左侧功能选择区选择实验名称“修改IE默认页”。
(2)开始进行实验,运行脚本病毒代码,然后打开InternetEXPlorer属性,可以看到“地址栏”默认项已被进制更改,如图2.4.112所示。
图2.4.112
(3)开始恢复实验,运行恢复代码,可以看到“地址栏”默认项已经恢复更改功能。
PE型病毒实验
【实验环境】
Windows实验台
病毒实验工具
【实验步骤】
启动Windows实验台,进入Windows2003系统;双击桌面上的“病毒实验”图标,进入病毒实验界面。
在界面上选择“PE病毒实验”,进入其实施面板,如图2.4.51所示。
图2.4.51
实验进行前,要先点击“初始化病毒工具”按钮,对其实验所需的工具进行初始化;在实验过程中,如果所需的工具被杀毒软件查杀,要再次点击“初始化病毒工具”按钮,对工具重新进行初始化,以便实验顺利进行。
一、HOST程序分析
(1)点击面板中“PE文件工具|浏览|host.exe”(C:
\ISES病毒\Tools\VirusTools\PE目录下),如图2.4.52所示。
图2.4.52
(2)点击“节表”,可查看节信息,如图2.4.53所示。
图2.4.53
(3)点击面板中的“host程序”,运行如图2.4.54所示。
图2.4.54
(4)通过点击面板中的“添加新节”,可使cc.exe感染host程序,然后点击面板中的“host程序”,查看感染后的运行结果。
二、感染过程
(1)点击面板中的“添加新节源码”,可看到win32汇编编写的病毒源码,如图2.4.55所示。
图2.4.55
(2)通过点击面板中的“添加新节”,可使cc.exe感染host程序,出现如图2.4.56所示的提示;然后点击面板中的“host程序”,查看感染后的运行结果。
图2.4.56
(3)点击确定,进入正常host程序,如图2.4.57所示。
图2.4.57
三、感染前后对比及修改
(1)点击面板中“PE文件工具|浏览|host.exe”,如图2.4.58所示。
图2.4.58
(2)点击“节表”,可查看节信息,如图2.4.59所示。
图2.4.59
(3)几个关键值的对比,如图2.4.510和图2.4.511所示。
图2.4.510
图2.4.511
(4)简单修改数值,以达到原先正常运行效果,如图2.4.512所示设置相应的值。
图2.4.512
修改入口点为原先的000038FF,然后点击应用更改,成功修改完成;关闭peditor。
然后点击面板中的“host程序”结果正常运行。
Word宏病毒实验
【实验环境】
Windows实验台
所需工具:
Word2003、Outlook2003
【实验步骤】
启动Windows实验台,进入Windows2003系统;双击桌面上的“病毒实验”图标,进入病毒实验界面。
在界面上选择“Word宏病毒实验”,进入其实施面板,如图2.4.81所示。
图2.4.81
实验进行前,要先点击“初始化病毒工具”按钮,对其实验所需的工具进行初始化;在实验过程中,如果所需的工具被杀毒软件查杀,要再次点击“初始化病毒工具”按钮,对工具重新进行初始化,以便实验顺利进行。
一、使用示例1代码
选择“示例1源码”,在右侧病毒介绍框内查看示例1的源码,如图2.4.82所示。
图2.4.82
二、对doc1进行病毒殖入
(1)点击“启动doc1”,打开Word文档,在工具栏点击“安全性”,设置Word安全性,如图2.4.83所示。
图2.4.83
(2)按下Alt+F11,如图2.4.84所示;打开如图2.4.85所示的project(Doc1)中的ThisDocument,将示例1的源代码复制到此。
图2.4.84
图2.4.85
(3)查看“Normal|ThisDocument”,如图2.4.86所示Normal下的ThisDocument为空。
图2.4.86
(4)关闭doc1文档。
然后再点击面板中的“启动doc1”,在doc1打开的过程中,会出现如图2.4.87所示的提示框,示例代码1执行成功。
图2.4.87
三、结果分析
(1)按下Alt+F11,查看其下的Normal模板中的ThisDocument,已被植入病毒代码,如图2.4.88所示。
图2.4.88
(2)这时再打开其它doc文件,都会发生弹出对话框的效果,如图2.4.89所示。
图2.4.89
四、查杀方法
(1)禁止宏
防御宏病毒的根本,在于打开Word文档时先禁止所有以auto开头的宏。
方法是:
单击工具菜单下的“宏”,然后单击“安全性”,在如图2.4.810所示的对话框中选择“非常高”,这样Word就有了防止“自动宏”执行的功能,将取消未经签署的任何宏。
图2.4.810
(2)删除来历不明的宏
在宏管理器中,删除全部可疑宏,或者在宏编辑器中删除可疑宏。
(3)恢复被宏病毒所破坏的Word
1)退出Word,然后先到系统盘(c:
)根目录下查看是否存在autoexec.dot文件,如果存在,而又不知道它是什么时候出现的,删除之。
2)找到normal.dot文件(一般在C:
\DocumentsandSettings\Adiministrator\ApplicationData\Microsoft\Templates目录中),用先前的干净备份替换之或干脆删除之(会重新生成一个)。
3)查看normal.dot所在目录是否还存在其它模板文件,如果存在且不是自己复制进去的,删除之。
4)重新启动Word,即可恢复正常。
Linux恶意脚本实验
【实验环境】
Linux实验台
【实验步骤】
一、覆盖其它脚本文件
(1)新建脚本文件
在root目录下,新建自己的工作目录“mytest”(使用mkdir命令),然后新建三个shell脚本:
“mya.sh”、“myb.sh”和“myc.sh”(使用touch命令),如图2.4.131所示。
图2.4.131
(2)在“mya.sh”与“myb.sh”中加入语句(使用vi命令),如图2.4.132所示。
图2.4.132
(3)在“myc.sh”中添加如图2.4.133所示的语句实现功能。
图2.4.133
(4)改变三个文件的执行状态,如图2.4.134所示。
图2.4.134
此时三个文件的状态如图2.4.135所示。
图2.4.135
(5)执行“myc.sh”脚本,实现覆盖另两个脚本的功能,如图2.4.136所示。
图2.4.136
此时三个文件的状态,如图2.4.137所示。
图2.4.137
(6)查看“mya.sh”与“myb.sh”(使用cat命令)中代码,和“myc.sh”中相同,即覆盖成功。
二、插入其它脚本文件
(1)清空“mya.sh”与“myb.sh”中原有的代码,添加如图2.4.138所示的语句。
图2.4.138
(2)在“myc.sh”中添加如图2.4.139所示的语句实现功能。
图2.4.139
(3)改变三个文件的执行状态,且改变后状态如图2.4.1310所示。
图2.4.1310
(4)执行“myc.sh”脚本,实现插入另两个脚本的功能,且修改其状态如图2.4.1311所示。
图2.4.1311
(5)查看“mya.sh”与“myb.sh”中代码,已插入“myc.sh”中的代码,如图2.4.1312所示,插入成功。
图2.4.1312
三、恶意脚本的防治
Shell基本都是明码,所以不难查出问题所在,一般shell得不到root权限,基本影响不会很大,但当得到root权限便可肆意删除、破坏系统。
不过此类代码,只要使用者不轻易执行不明脚本,便使其无机可趁。
恶意软件查找及清除实验
【实验环境】
Windows实验台
实验工具:
icesWord
Aport端口查看
Regshot注册表对比工具
熊猫烧香病毒专杀工具
注意事项:
该实验必须在实验台中运行;恶意软件运行前需断开网络。
【实验步骤】
一、系统设置
启动Windows实验台,进入Windows2003系统,将本地主机与实验台同一网段的IP地址删除并断开局域网连接以免病毒感染本机或局域网内主机。
二、运行“金猪报喜.exe”
通过工具箱下载并运行“金猪报喜.exe”文件。
三、观察恶意软件运行后的效果
(1)修改部分文件图标;
如图2.4.162所示,运行恶意软件样本之后首先的现象就是恶意软件会感染部分exe文件。
当远程及其它用户点击该程序,则会中毒,造成恶意软件的进一步传播。
图2.4.162恶意软件感染文件并修改图标
(2)无法打开任务管理器;
(3)无法运行msconfig查看启动项;
(4)无法运行注册表编辑器(regedit.exe);
(5)无法打开防火墙管理服务;
(6)无法查看“显示所有文件”;
(7)无法访问共享,删除当前系统的默认共享;
(8)右键磁盘,出现自动运行菜单,如图2.4.163所示;
图2.4.163磁盘开启双击自动运行
(9)分析是否存在其它异常。
恶意软件常常通过这些方法,使管理员无法查看到或修改关闭该恶意软件运行程序。
四、恢复备份,分析恶意软件
关闭实验台,然后重新从客户端主程序启动实验台从而对系统进行恢复备份后,通过工具箱下载病毒查杀工具,启动分析软件重新运行恶意软件(可多次恢复备份以完成下面的所有步骤)。
(1)网络分析
打开端口监听程序aport,会发现sppoolsv.exe在不断对同网段地址进行139、445端口进行连接,如图2.4.164所示。
图2.4.164恶意软件对外进行病毒传播
工具箱中下载并打开wireshark,分析恶意软件是想通过什么方式实现对远程主机的感染与恶意软件的传播。
(2)进程分析
在运行恶意软件前启动iceWord.exe,看到新建进程sppoolsv.exe,如图2.4.165所示;该进程冒充打印服务,其实是恶意软件后台进程,右键属性可以查看到该进程路径,如图2.4.166所示。
关闭这个进程的话,则会启动任务管理器,注册表编辑器和msconfig。
图2.4.165生成恶意软件
图2.4.166恶意软件进程显示
在运行恶意软件前启动icesWord.exe,并点击监视进线程创建,如图2.4.167所示,会发现sppoolvse.exe恶意软件文件会启动cmd,并且cmd还会调用net命令,来实现删除本地共享的目的。
查看本地共享,分析哪些共享目录被删除。
图2.4.167修改本地共享
(3)系统生成文件分析
恶意软件在植入到本地系统时,会在本地中生成文件,以便于恶意软件程序被删除或停止后,继续的运行与传播。
安装并运行软件filemon,监听系统中文件的建立,如图2.4.168所示;会发现恶意软件不仅会生成sppoolvsv.exe这样的恶意软件母体,还会在磁盘根目录下生成setup.exe,如图2.4.169所示,通过双击磁盘自动运行恶意软件文件。
图2.4.168创建恶意软件母文件
图2.4.169磁盘根目录创建恶意软件文件
分析恶意软件还会生成哪些文件。
(4)注册表分析
运行恶意软件前对当前系统进行注册表备份,如图2.4.1610所示;运行恶意软件样本后,再进行快照二,通过对比发现恶意软件对注册表进行了哪些修改。
图2.4.1610注册表工具
如图2.4.1611所示,恶意软件将本身放置到启动项中。
实现开机自启动。
分析其它被修改的位置。
图2.4.1611注册表修改项
(5)感染文件分析
恶意软件运行后,会对二进制可执行文件感染;修改其PE头,结合前面PE病毒实验,分析被感染后的病毒文件,如图2.4.1612所示。
图2.4.1612被感染exe文件PE头分析
五、恶意软件的查杀与应对
(1)禁用网络
通过命令行或网络连接禁用实验台系统的网络。
(2)终止进程,删除恶意软件母文件
在IceSWord中结束sppoolsv.exe进程,如图2.4.1613所示。
图2.4.1613终止恶意软件进程
打开任务管理器,并到相应的位置删除“sppoolsv.exe”进程。
(3)删除磁盘自动运行文件
当前状态无法看到隐藏文件,并且双击磁盘会再次感染恶意软件文件,所以要先通过cmd命令行来对磁盘内的自动运行文件进行删除,删除根目录下的setup.exe与autorun.inf。
通过如图2.4.1614所示的命令查看D盘下的所有文件。
图2.4.1614查看磁盘恶意软件文件
如图2.4.1615所示,首先输入attrib加参数-h-s-r去除文件的隐藏、系统、只读属性,然后才可以使用del命令将文件进行删除。
图2.4.1615删除磁盘恶意软件文件
同样,在cmd中删除C盘、D盘中的setup.exe和autorun.inf文件。
(4)删除启动项
在msconfig中删除启动项,如图2.4.1616所示。
图2.4.1616启动项
(5)修改注册表
修改注册表,以查看所有隐藏文件:
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\EXPlorer
\Advanced\Folder\Hidden\SHOWALL中的CheckedValue,将值置为1,即可查看所有文件。
(6)专杀删除已感染文件
使用杀毒软件清除已感染的exe文件,如图2.4.1617所示。
图2.4.1617专杀工具
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防灾 科技学院 病毒 实验