20112451 郭鹏越 病毒与反病毒.docxVIP

实验一 程序的自动启动一、实验目的（1）验证利用注册表特殊键值自动启动程序的方法；（2）检查和熟悉杀毒软件各组成部分的自动启动方法。二、实验内容与要求（1）在注册表自动加载程序主键中，添加加载目标程序键值（自己指派任意程序），重启操作系统，检查是否能自动成功加载目标程序。罗列5或5个以上能自动启动目标程序的键值，并用其中某一个启动自己指派的程序。（2）检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。三、实验环境与工具操作系统：Windows XP/Windows Vista/Windows 7工具软件：RegEdit.exe，AutoRuns，或其他注册表工具软件；杀毒软件四、实验步骤与实验结果1、在注册表自动加载程序主键中，添加加载目标程序键值。（方法很多，没有一一演示。）1、Load注册键介绍该注册键的资料不多，实际上它也能够自动启动程序，位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows建一个字符串名为load键值，为自启动程序的路径但是要注意短文件名规则，如c:programfiles应为c:progra1，这种方式用优化大师看不到。据说建立run=键值也是可行的，需要注意没有测试过。2、WinlogonUserinit注册键存放位置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon找到“Userinit”这个键值，这个键值默认为c:WINNTsystem32userinit.exe，后面加路径，再加逗号也可以。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe，但这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”（不含引号）。注意下面的Notify、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。3、ExplorerRun注册键和load、Userinit不同，Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun。4、RunServicesOnce注册键RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序，RunServicesOnce注册键的位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce。5、RunServices注册键RunServices指定的程序紧接RunServicesOnce指定的程序后运行，两者都在用户登录之前，位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices。6、RunOnceSetup注册键RunOnceSetup指定了用户登录之后运行的程序，它的位置是：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup；HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup。7、RunOnce注册键安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时间在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。8、Run注册键Run是自动运行程序最常用的注册键，位置在：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在“启动”文件夹运行之前执行。Run的程序是在每次系统启动时被启动，RunServices则会在每次登录系统时被启动。9、ImageFileExecutionOptions下的注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions下的注册表项，项名为A.exe，然后在下面新建一个字符串，字符串名为Debugger，字符串值就是程序B.exe的全路径。这个是针对系统可以设置每个程序指定的纠错程序来实现的。让我感到意外的是A.exe不用指明路径！10、开始菜单启动组现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到相应的文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders，键名为Startup。11、Winlogonshell在以下键值位置：HKEY_LOCAL_MACHINESHOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon；里面的shell建值在Explorer.exe的后面加上我们程序的路径这样我们的程序就可以随系统启动了。比如我的c:windowssystem32下有个hehe.exe木马。12、COMMAND的AUTORUN利用CMD.EXE的autorun：HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommandProcessor下面建一个字串AUTORUN，值为要运行的.bat或.cmd文件的路径，木马可以加载在AUTORUN键值下。这样在运行CMD命令的时候一起加载运行。注意：1、如果需要运行.dll文件，则需要特殊的命令行：Rundll32.exeC:WINDOWSFILE.DLL,Rundll322、解除这里相应的自启动项只需删除该键值即可，但注意不要删除系统键值。3、如果只想不启动而保留键值，只需在该键值加入rem即可：“remC:Windowsa.exe”13、SystemShell存放位置：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键值名称：Shell，下面的数据为启动文件名。14、SystemScripts下Logoff(Logon)键值注意以下分支的Logoff(Logon)键值可能加载文件：HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemScripts；HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsSystemScripts。15、AppInit_DLLs键值在以下位置：HKLMSOFTWAREMICROSOFTWINDOWSNTCURRENTVERSIONWINDOWS，有一个键值APPINIT_DLLS，一些DLL木马可以在这个位置上直接加载，这种方式加载的木马无法在任务管理器中看到。如求职信病毒就是让系统执行DllMain来达到启动木马的目的，因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。16、bootexecute键值在以下位置：HKLMSYSTEMCONTROLSET001SESSIONMANAGE下面，有一个名为bootexecute的多字符键值，默认数值是：autocheckautochk*。17、WinlogonNotify位置：HKLMSOFTWAREMICROSOFTWINDOWSNTCURRENTVERSIONWINLOGONNOTIFY，此处位置也需要特别的留意。18、RunOnceExXP操作系统，还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx键值位置的内容19、Explorershellfolders和usershellfolder以下四个键值位置需要注意：HKCUSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERSHELLFOLDERSHKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERSHELLFOLDERS;HKCUSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERUsershellfolderHKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERUsershellfolder20、ShellServiceObjectDelayLoad以下注册表分支：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad重启虚拟机：2、检查/分析你所使用的计算机中杀毒软件系统托盘程序、底层驱动程序等组成部分的自动启动方式。1）系统托盘程序通过修改 HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun子键值实现自动启动。 2)底层驱动程序等核心程序通过修改 HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServices中的一些子键值实现自动启动五、思考题杀毒软件为什么要分成几个部分各自自动启动？答：杀毒软件的各个进程相互监视,以免病毒杀掉杀毒软件进程,终止杀毒软件杀毒。360杀毒软件自动启动过程分为两个部分：一、修改RUN子键值启动的托盘程序；二、修改Services中子键值实现自动启动的驱动核心程序。 Services是Windows中加载的服务，它的级别较高，用于最先加载。即使用户进入计算机开始工作之前杀毒软件核心部分已经开始运行，进行了系统关键位置的扫描清楚。保证了在病毒自动加载运行之前将其杀掉。系统托盘程序主要用途是方便用户图形处理的工具，为了不影响用户开机速度故应该放在最后启动。六、实验体会与小结本来，我以为这个实验很简单，但是自己真正去做的时候才发现，原来自己知道的只是一些皮毛，感谢老师又给我回了那封邮件，让我自己真正动手做了，自己确实学到了很多东西，至少知道如果中了病毒，在注册表的哪个地方可以看到病毒的开机启动项，并能做出相应的修改，还原注册表。实验三 键盘记录型木马一、实验目的（1）熟悉和掌握木马的基本原理，体验木马与狭义病毒的差别；（2）熟悉手工查杀木马的基本方法。二、实验内容与要求（1）启动并配置木马。（2）新建记事本文件，在文件中键入、删除字符，用光标键等改变键盘输入位置继续键入、删除字符；查看木马记录结果是否与记事本文档的编辑动作一致。（3）启动包含输入框、按钮等控件的程序（如MakeSeal.exe），在其界面中输入字符或点击界面中控件；查看木马记录结果与操作记录是否一致。（4）启动包含输入登录帐号和登录密码的程序（如QQ登录），在界面中输入帐号和密码；查看木马记录结果与操作是否一致。（5）用Fport检查是否存在异常端口。三、实验环境与工具操作系统：基于虚拟机的Windows XP/Windows Vista/Windows 7木马：SC-KeyLog2四、实验步骤与实验结果1、配置木马运行我进行了创建、删除TXT文档、修改名称、在TXT内插入、修改、删除内容，结果如下：2、运行MakeSeal，结果如下：绘制结束并保存，查看记录：3、启动QQ，