实验八脚本病毒

实验八 脚本病毒一、 实验目的1 了解脚本病毒的工作原理；2 观察病毒感染现象并手工查杀病毒。二、 实验环境1 本练习由单人为一组进行。2 首先使用“快照X”恢复Windows系统环境。三、 实验原理恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。2000年5月4日，在欧美爆发了“爱虫”网络蠕虫病毒，造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒是通过Microsoft Outlook电子邮件系统传播的，邮件的主题为“I LOVE YOU”，并包含一个附件。一旦在Microsoft Outlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 这个病毒属于vbs脚本病毒，可以通过html，irc，email进行大量的传播。svir.vbs病毒具备“爱虫”病毒的部分功能，是以“爱虫”病毒为基础，减弱其破坏性，并将感染范围控制到一定的范围内的模拟病毒。四、 实验步骤1网页恶意代码(1) 恶意网页1新建记事本HostilityCode1.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode1.html页面，观察页面效果。（如果打开页面时出现安全警告，单击右键选择“允许阻止的内容”）var color = new Arraycolor1= blackcolor2= whitefor(x=0;x3;x+)document.bgColor = colorx if(x=2) x=0页面效果： 。并说明其实现原理： 。(2) 恶意网页2新建记事本HostilityCode2.txt，在文本中编写如下代码，保存代码并退出，更改扩展名.txt为.html，双击HostilityCode2.html页面，观察页面效果。nofunction openwindow()for(i=0;i1000;i+)window.open( 0)页面效果： 。并说明其实现原理： 。2. svir.vbs病毒专杀工具设计(1) 观察svir.vbs病毒感染现象查看病毒要感染和修改的目标项。进入实验平台，点击工具栏中的“实验目录”按钮，进入脚本病毒实验目录，使用UltraEdit或记事本打开svir.vbs病毒文件查看其源码。由病毒源码可知，病毒首先要复制自己的副本到指定目录，然后在注册表中添加启动项，再感染指定目录下的文件，最后显示发作信息。因此我们要查看这些相关项在病毒发作前的状态。根据病毒源码，查看如下项：l 系统目录下的病毒副本在“C:WINDOWS”目录及其子文件夹中搜索是否有文件“MSKernel32.vbs”。l 注册表中的开机启动项HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32l 指定感染目录下的文件查看C:JLCSSTOOLSVirusScriptVir中的子目录及不同类型的文件是否都变成以“.vbs”结尾的脚本文件。双击“svir.vbs”运行病毒文件。重复查看病毒要感染和修改的目标项是否有被病毒感染的现象。重启计算机观察是否有病毒发作现象。(2) 手工查杀病毒结束病毒进程。打开“任务管理器”结束Windows脚本宿主进程。“svir.vbs”是用VBS脚本语言编写的，它是通过Windows脚本宿主“wscript.exe”程序解释执行的，所以结束病毒进程就是结束“wscript.exe”进程。删除系统目录中的病毒副本。在C:WINDOWS目录及其子文件夹中搜索文件MSKernel32.vbs，并删除。修改注册表。打开“注册表编辑器”找到注册表项HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32，将其删除。恢复被感染的文件。在病毒发作后，指定感染目录下病毒要感染项都生成以原文件名命名，以“vbs”为扩展名的病毒副本，原来的文件被修改了文件属性，成为了隐藏文件。l 删除病毒文件在病毒指定感染目录及其子目录中，删除所有被病毒感染后生成的以“.vbs”为扩展名的文件。l 恢复文件属性打开“资源管理器”，单击“工具”| “文件夹选项”| “查看” ， 选中“显示所有文件和文件夹”，单击“确定”后显示被隐藏起来的文件。右键单击隐藏文件选择“属性”，在“常规”选项卡 中 取消对“隐藏”的选择 ， 单击“确定”恢复文件属性。五思考题1根据实验原理编程实现针对“svir.vbs”脚本病毒的专杀工具。要求专杀工具能够实现如下功能：(1)删除病毒在系统目录中创建的副本；(2)删除病毒在注册表中创建的开机启动项；(3)删除病毒在指定目录中感染的文件，并恢复被隐藏的原文件的属性；(4)结束病毒发作时弹出的消息框进程。 提示：在IE浏览器地址栏中输入ftp:/1