病毒防范与分析实训报告Word文档格式.doc

病毒防范与分析实训报告Word文档格式.doc

《病毒防范与分析实训报告Word文档格式.doc》由会员分享，可在线阅读，更多相关《病毒防范与分析实训报告Word文档格式.doc（19页珍藏版）》请在冰豆网上搜索。

掌握以网络管理员或者是网络安全专业人员的身份，实现对常见病毒的分析和预防方法。

要求掌握以下主要技能：

1.掌握文件型病毒原理、发现方法、查杀技巧；

2.掌握宏病毒的感染方式、工作原理和查杀方法；

3.掌握脚本病毒的一般性工作原理、常见的感染方式；

4.掌握邮件型病毒的传播方式、工作原理、查杀方法；

5.掌握计算机蠕虫的定义、攻击原理，了解漏洞溢出原理养成良好的编程习惯；

二、实习（实训）内容

[实训平台]

中软吉大网络信息安全教学实验系统

项目一、文件型病毒—PE病毒

1.实验目的

了解文件型病毒的原理，了解PE文件结构，了解文件型病毒的发现方法，了解病毒专杀工具的基本原理

2.实验工具

LaborDayVirus、OllyDBG、PEExplorer、UltraEdit-32、VC++6.0

3.实验内容

一．验证利用OllyDBG修改病毒感染程序

（1）进入实验平台，单击工具栏“实验目录”按钮，进入文件型病毒实验目录。

新建文件夹“text”，将文件夹“hei”下的hei0.exe（未感染病毒的可执行程序）复制到text目录中。

点击工具栏“LaborDayVirus”按钮，将目录中的LaborDayVirus.exe也复制到text目录中。

将系统时间调整为5月1日，双击text目录下LaborDayVirus.exe感染hei0.exe文件，观察hei0.exe感染病毒前后的大小变化。

我发现hei0.exe文件的大小由感染之前的3KB变成了7KB，结果如图1-1、1-2所示：

图1-1：

感染前hei0.exe的大小

图1-2：

感染后hei0.exe的大小

（2）单击工具栏“OllyDBG”按钮启动ollyDbg1.10，单击文件菜单中的“打开”项，选择要修复的hei0.exe。

由于病毒修改了原程序的入口点，因此会有程序入口点超出代码范围的提示。

如图1-3所示：

图1-3：

打开要修复的文件

单击“确定”按钮继续，程序会停在病毒修改后的程序入口点（hei0.exe的入口点为0x00403200）上，在代码中找到最后一个jmp指令处（病毒感染完成后将跳转回原程序），按F2设置断点，按F9运行，程序会在刚设置的jmp断点上中断，查看EAX寄存器的值（EAX=0x401000注意上面提到的断点，下面还会用到），按F7单步执行到下一条指令地址，点选鼠标右键，选择菜单中的“用ollyDump脱壳调试进程”，选中重建输入表方式1，方式2各脱壳一次，分别保存为1.exe、2.exe。

测试两个程序不具有病毒的传染特性了，如图1-4、1-5、1-6所示：

图1-4：

用ollyDump脱壳调试进程

图1-5：

保存脱壳文件

图1-6：

双击运行脱壳文件

二．病毒感染机制分析

（1）准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_，hei.ex_，并复制到一个新的目录下用于调试、对比。

（2）进入实验平台，点击工具栏中的“PE”按钮，使用PEExplorer分别打开hei.ex_和hei0.ex_文件，对比两个文件入口点（OEP--AddressofEntryPoint）和ImageBase并分别记录。

OEP

ImageBase

hei0.ex_

00001000h

00400000h

hei.ex_

00005200h

点击“View”菜单中的“SectionHeaders”进入SectionHeaders页面，比对SectionHeader的数据信息并记录到下面表格。

VirtualSize

VirtualAddress

SizeofRawData

PointtoRawData

hei0.ex_的.data

00000027h

00403000h

00000200h

00000800h

hei.ex_的.data

00000388h

00404000h

00002A00h

由于一般文件型病毒只有代码段，数据和代码都存在一起。

所以可以断定hei.ex_的.data段多出的数据即为病毒代码和数据。

（3）进入实验平台，单击工具栏中“UE”按钮，打开UltraEditor，选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对，可以发现在hei.ex_文件的0xa00处开

始的数据块为存储于.data节的病毒代码。

如图1-7所示：

图1-7：

比较文件

「注」该段数据在.data节是因为hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的PointtoRawData处。

这段数据是病毒代码是因为0xa00-0x800+0x403000=0x403200（感染病毒文件hei.ex_OEP的虚地址（VA））。

（4）使用UltraEditor打开hei.ex_定位光标到hei.ex_的.data块的PointtoRawData位置，并以16进制形式查找hei0.ex_的入口点（注意字节顺序），将查找到的数据的文件偏移记录00002A00h。

如图1-8所示：

图1-8：

查找hei0.ex_的入口点

（5）定位上面例子中hei.ex_的jmp断点，在jmp指令上面会发现如下的汇编代码：

计算宿主文件原入口地址，跳转执行宿主程序

004047F36A00PUSH0

004047F5FF9534FEFFFFCALLDWORDPTRSS:

[EBP-1CC]

004047FB898558FDFFFFMOVDWORDPTRSS:

[EBP-2A8],EAX

004048018B4DFCMOVECX,DWORDPTRSS:

[EBP-4]

004048048B11MOVEDX,DWORDPTRDS:

[ECX]

00404806039558FDFFFFADDEDX,DWORDPTRSS:

[EBP-2A8];

hei.00400000

0040480C8995D4FDFFFFMOVDWORDPTRSS:

[EBP-22C],EDX

004048128B85D4FDFFFFMOVEAX,DWORDPTRSS:

[EBP-22C]

00404818FFE0JMPEAX ;

最后跳转到EAX执行源程序

0040481A8BE5MOVESP,EBP ;

灰色区域的代码可以用做查找原入口点的标记

;

因为其操作与立即数无关，不会因宿主程序改动

而变化，其后的病毒数据存储原始入口点

0040481C0010ADDBYTEPTRDS:

[EAX],DL

0040481E0000ADDBYTEPTRDS:

[EAX],AL

004048200000ADDBYTEPTRDS:

004048220000ADDBYTEPTRDS:

0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区，0x1000为hei0.exeOEP的RVA，0x1000在反汇编代码中的表示是0010。

（6）进入实验平台，单击工具栏中的“实验目录”按钮，利用上面的方法分别对文件分析目录下的已感染和未感染文件进行调试，注意比对感染病毒文件和原文件特征，将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。

文件

原文件的

入口地址

感染病毒文件的

感染病毒文件的最后一个跳转目的地址

mspaint.exe

01054DDD

01054E12

01054E18

notepad.exe

010145F3

01014612

01014618

wordpad.exe

01004FF3

01005012

01005018

（7）通过以上的分析，就可以初步断定，该病毒的感染方式是：

计算宿主文件原入口地址跳转执行宿主程序，最后跳转到EAX执行源程序。

项目二、宏病毒-Word宏病毒

理解Word宏病毒的感染方式，理解Word宏病毒的工作原理，掌握Word宏病毒的杀毒方法

MicrosoftWord2003

一．病毒感染

（1）主机A进入实验平台，点击工具栏中“实验目录”按钮，进入宏病毒实验目录。

双击打开Sufferer1.doc、Sufferer2.doc和Normal.dot模板（位于目录C:

\DocumentsandSettings\Administrator\ApplicationData\Microsoft\Templates下），观察程序未感染病毒时的正常现象，关闭文件。

填写表33-1-1。

「注」默认状态下ApplicationData文件夹是隐藏的。

打开“资源管理器”，依次单击菜单栏“工具”｜“文件夹选项”菜单项，选择“查看”选项卡，选中“显示所有文件和文件夹”，单击“确定”按钮，显示隐藏文件。

（2）主机A打开实验目录中的MothersDayVirus.doc，然后关闭文件。

此时病毒已感染到Normal.dot模板上。

（3）主机A打开Sufferer1.doc，然后关闭文件，此时病毒感染到Sufferer1.doc上，观察关闭文档时的现象。

填写下表。

如图2-1所示：

状态

文件大小

Sufferer1.doc感染前

11KB

Sufferer1.doc感染后

77KB

Normal.dot感染前

32KB

Normal.dot感染后

97KB

图2-1：

感染后大小变化

二．病毒的传播

「注」在操作此步骤时不能打开其它word文档，否则实验不会成功。

（1）主机B打开实验目录下的Sufferer1.doc和Sufferer2.doc，观察程序未感染病毒时的正常现象，然后关闭文件。

（2）主机A将已感染病毒的Sufferer1.doc文件作为邮件附件发送给主机B。

「注」OutlookExpress具体配置方法，可参考附录A—OutlookExpress配置方法。

（3）主机B接收此邮件，并将附件保存在宏病毒实验目录下，替换原来的Sufferer1.doc，打开此附件（Sufferer1.doc），然后关闭。

此时病毒感染到主机模板Normal.dot上。

（4）主机B打开Suffe