恶意代码基础与防范实验指导书

1《恶意代码实训指导书》 实验概述1随着信息技术的发展与应用，网络安全的内涵在不断的延伸，从最初理论和实施技术。网络安全是一个综合、交叉学科领域，要综合利用数学、物理、通信和计算机等诸多学科的长期知识积累和最新发展成果，不断发展和完善。《网络安全技术》是计算机科学与技术类、通信与电子类、电子商务与管理工程类等专业开设本课程实践为全校公选课，通过课程实践使学生能深刻理解和领会计算机网络安网络安全中的密码与压缩技术；病毒及恶意软件的防护技术；操作系统与站点安全技本课程为全校本科生的公共选修课，通过课程实践使表1-1实验项目明细表序号实验项目学时基本要求备注1网络安全概述2在规定时间内，完成网络安全技术保障体系模型，结合网络安全法律法规的案例整理。2网络操作系统安全与管理2在规定时间内，独立完成教师指定系统安全的管理和配置（中等复杂程度）。3数据加密技术2在规定时间内，完成数据加密相关的认证和数字签名的实验并理解消息认证和数字签名的一般实现技术算法等。4恶意代码与计算机病毒的防治2在规定时间内，完成360安全卫士的主要技术及应用。2《恶意代码》课内实验环节占该课程总成绩的40%，即40分。实验实操：根据学生提交报告以及实验过程中的表现确定成绩，每个实验项目成接计入课程最终成绩。各实验项目具体评价标准，见各实验项目。如有雷同按照0分教师和学生都应当高度重视实验实训安全，牢固树立安全意识，及时发现和排除课内实验环节主要涉及的是用电使用安全，以及其它个人物品的使用及使用过程中潜在的危险隐患，教师和学生都应当引起重视，同时做好相关场所的环境卫生等工3实验项目一脚本病毒执行效果，了解恶意代码的原理与危害，共分为2个实验任务实验室介绍了前两脚本是批处理文件的延伸，是一种纯文本保存的程序，一般来说的计算机脚本程序是确定的一系列控制计算机进行运算操作动作的组合，在其中可以实现一定的逻辑脚本简单地说就是一条条的文字命令，这些文字命令是可以看到的（如可以用记事本打开查看、编辑），脚本程序在执行时，是由系统的一个解释器，将其一条条的翻译成机器可识别的指令，并按程序顺序执行。因为脚本在执行时多了一道翻译的过因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，4Express或Foxmail这类邮箱软件，就是通过脚本功能来实现的。也正因为脚本的这些特点，往往被一些别有用心的人所利用。例如在脚本中加入一些破坏计算机系统就非法的网页，更不要轻易允许使用脚本。通过“安全设置”对话框，选择“脚本”选脚本病毒通常是JavaScript或VBScript等语言编写的恶意代码，一般广告性如欢乐时光(VBS.Happytime)、十四日(其生命周期一般为开发期→传染期→潜伏期→发作期→发现期学生提前阅读《恶意代码实验指导书》，自行学习掌握实验相关知识，熟悉了解在规定时间内（连续4学时)，完成教师指定熟练使用nmap常用参数对不同网络（2）打开创建.txt文件，我们将看到执行脚本的内容。s678脚本病毒实验的评价着眼于全面评价学生综合能力和素质，强化知识应用能力和创新能力，把过程考核、实际能力考核等理念贯彻到实），），误（5处以内），整体操作质量符合基本要求；错误，或整体操作质量未达到基本要求，或未⑶其他说明出现以下原则性问题，直接判定为不及格9实验项目二木马病毒执行效果，了解恶意代码的原理与危害，共分为2个实验任务实验室介绍了前两木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内学生提前阅读《恶意代码实验指导书》，自行学习掌握实验相关知识，熟悉了解在规定时间内（连续4学时)，完成教师指定熟练使用nmap常用参数对不同网络（1）服务器端。打开C:\tool\“木马攻击实验”文件夹，在“冰河”文件存储），“开始”---“运行”---输入“cmd”务器端主机上的盘符如图7服务器端主机盘样操作远程目标电脑.“系统信息及口令”：可以查看远程主机的系统信息口令等。可看到非常详细的远程主机信息，这就无异于远程主机彻底暴露在攻击者面前“击键记录”：启动键盘记录后，可以记录远程主机界面如图9控制类命令。“捕获屏幕”：这个功能可以使控制端使用者查看远“发送信息”：这个功能可以使你向远程计算机发生Windows标准的各在实际情况中木马客户端不可能为木马服务器端自动卸载木马，我们在发现计算机有异常情况时（如经常自动重启，密码信息泄露时），就应该怀疑是否已经HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio在目录中发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这就是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runser在目录中也发现了一个默认的键值C:\WINNT\System32\kernel32.exe，这也是上面两个注册表的子键目录Run和Runservices中存放的键值是系统启动时自动启动的程序，一般病毒程序，木马程序，后门程序等都放在这些子键目录下，所以要修改文件关联也是木马常用的手段，“冰河”木马将txt文件的缺省打开方式由马的目标，所以，在最后需要回复注册表中的txt文件关联功能。方法是找到注册表的HKEY_CLASSES_ROOT\txtfile\Shell\open\command下的默蠕虫病毒实验的评价着眼于全面评价学生综合能力和素质，强化知识应用能力和创新能力，把过程考核、实际能力考核等理念贯彻到实），），误（5处以内），整体操作质量符合基本要求；错误，或整体操作质量未达到基本要求，或未⑶其他说明出现以下原则性问题，直接判定为不及格实验项目三熊猫烧香病毒分析3、通过实验了解熊猫烧香病毒的危害，熟悉XueTr和MalwareDefender的基本一、蠕虫原理视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利用文件中的地址信息或者网络共享进行传播，最终破坏用蠕虫病毒是自包含的程序(或是一套程序)，它能传播它自身功能的拷贝或它的某与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕传统病毒主要攻击的是文件系统，在其传染的过程中，计算机使用者是传染的触发者，是传染的关键环节，使用者计算机知识水平的高低常常决定了传统病毒所能造主动进行攻击。在传染的过程中，与计算机操作者是否进行操作无关，从而与使用者传播模块：负责蠕虫的传播，通过检查主机或远程计算机的地址库，找到可进一传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。蠕虫程序扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得），在分布式系统中，蠕虫可能会以系统程序名或不易被操作系统察觉的名字来为自己命名，从而伪装自己。同时也可以看到，传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术，没有蠕虫的传播技术，也就谈不上什么蠕又名：尼亚姆、武汉男生、worm.whBoy、worm.nimaya后又化身为：“金猪报喜”影响系统：Windows9X/ME/NT/2000/XP/2速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该磁盘时激活病毒体。随后病毒体创建一个线程进行本地文件感染，同时创建另外一个线程连接网站下载DO2s学生提前阅读《恶意代码实验指导书》，自行学习掌握实验相关知识，熟悉了解Dubaesteemproces、绿鹰PC密码防盗、噬菌体、木马辅助查找器、SystemSafetymsctls_statusbar32、pjf(uLogo1_.exe、Logo_1.exe、Rundl132.exe。的安装程序，尝试安装，会发现无法安装成功的情况，如9.之后，我们重新打开，查看刚才我们的修改是否成功，发现刚才的修改失败。10.打开桌面熊猫烧香文件夹里的wsyscheck.exe，这是一款系统可以进行进程和服务驱动的检查，SSDT强化检测等操作。打开wsyscheck的进程管理，可以看见系统打开了哪些进程，可以看见spcolsv.exe正在运行，定位它的位置，可以发现，“熊猫烧香”已经将自身复制到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]svcsh%system32%\drivers\spcolsv.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expnced\Folder\Hidden\SHOWALL]分支下的“CheckedValue”的键值设为“dword：1.结束病毒进程。使用刚才介绍的工具wsyscheck，打开“进程管理”，找到6.通过上面的措施，接下来验证一下，现在能否打开任务管理器以及注册表，打开方式详见任务一。如下图所示，我们现在可以成功7.接下来，清空回收站，打开我的电脑，双击C熊猫烧香病毒实验的评价着眼于全面评价学生综合能力和素质，强化知识应用能力和创新能力，把过程考核、实际能力考核等理念），），误（5处以内），整体操作质量符合基本要求；实验项目四恶意代码分析通过本次实验学习针对恶意代码进行静态分析的技术，包括上传至virustotal静态分析静态分析技术通常是研究恶意代码的第一步，是分析程序指令与结构来确定功能的过程，此时程序不是在运行状态的。常见的步骤如下：1.反病毒软件确认程序样本恶意性2.使用hash识别恶意代码3.文件的字符串列表，使用函数还有文件头信息分析尽可能多的搜集信息，对目标就更加了解。学生提前阅读《恶意代码实验指导书》，自行学习掌握实验相关知识，熟悉了解1.将文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配4.是否有导入函数显示出了这个恶意代码是做什么的?如果6.是否有基于网络的迹象，可以用来发现受感1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看2.是否有这个文件被加壳或混淆的任何迹象?如果是这样，这些迹象是什么?如果4.哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机4.实验文件路径：桌面/matertial/C1.将文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配看