中南大学病毒攻击与防治实验报告Word格式文档下载.docx

中南大学病毒攻击与防治实验报告Word格式文档下载.docx

《中南大学病毒攻击与防治实验报告Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《中南大学病毒攻击与防治实验报告Word格式文档下载.docx（17页珍藏版）》请在冰豆网上搜索。

（2）几个关键值的对比，如下图：

病毒查找及清除实验

一、实验目标：

1、掌握手动病毒查找的方法；

2、掌握常见病毒分析和查杀的第三方工具使用方法；

3、能够根据病毒特征清除病毒；

二、实验环境：

虚拟机：

WindowsXP/2003，Regshot注册表对比工具，Aport端口查看工具，ProcessExplorer

三、实验过程：

通过第三方软件，察看病毒的运行状态，对系统配置的修改，从而了解病毒的运行原理，达到手动清楚木马与病毒的目的。

实验内容包括：

1）注册表查看和监控；

2）文件型病毒代码查看；

3）进程查看和管理；

4）端口状态分析；

启动虚拟机，并设置虚拟机的IP地址，以虚拟机为目标主机进行攻防试验。

1.注册表分析；

（1）点击工具regshott，用户在页面右侧可以根据提示使用第三方工具，对比不同时间点的注册表信息。

如下图所示

步骤一、利用工具对系统注册表进行拍照，首先单击快照1。

四、实验结果：

步骤二、运行桌面上的灰鸽子病毒，在灰鸽子客户端软件中生成服务器端程序，在本机执行该服务器程序即运行病毒样本，该病毒将把自身注册到注册表启动项，以达到随系统启动而自动运行的效果；

步骤三、利用工具再次对系统注册表进行拍照即单击快照2，并进行比较，分析注册表的变化，找到病毒注册的关键位置。

步骤四、启动注册表编辑器，恢复被修改的注册表关键项，从而清除病毒。

2.进程状态分析

（1）点击工具箱中攻防工具检测工具processexp，如下图所示，用户在页面右侧将会根据提示运行第三方工具查看当前活动进程状态。

从该图中可以明显的看到灰鸽子程序在运行的进程，进而可以终止该病毒程序运行

3.端口状态分析

（1）点击工具箱中攻防工具检测工具aport，用户在页面右侧可以根据提示使用第三方工具，查看本机端口开放状态。

如下图所示，从该图中可以明显的看到灰鸽子程序在运行的进程，进而可以终止该病毒程序运行。

（2）学生用户根据端口开放状态找到非法进程，进行以下操作：

步骤一：

结束可疑进程；

步骤二：

定位可疑进程对应的文件；

步骤三；

清除病毒文件。

木马攻击实验

掌握木马攻击的原理；

了解通过木马对被控制主机的攻击过程

了解典型的木马的破坏结果；

WindowsXP，灰鸽子客户端软件

Client为攻击端，Server为被攻击端

木马，全称为：

特洛伊木马（TrojanHorse）。

特洛伊木马这一词最早出先在希腊神话传说中。

相传在3000年前，在一次希腊战争中。

麦尼劳斯（人名）派兵讨伐特洛伊（王国），但久攻不下。

他们想出了一个主意：

首先他们假装被打败，然后留下一个木马。

而木马里面却藏着最强悍的勇士。

最后等时间一到，木马里的勇士全部冲出来把敌人打败了。

这就是后来有名的木马计把预谋的功能隐藏在公开的功能里，掩饰真正的企图。

计算机木马程序一般具有以下几个特征：

1.主程序有两个，一个是服务端，另一个是控制端。

服务端需要在主机执行。

2.当控制端连接服务端主机后，控制端会向服务端主机发出命令。

而服务端主机在接受命令后，会执行相应的任务。

一般木马程序都是隐蔽的进程,不易被用户发现。

启动虚拟机，并设置虚拟机的IP地址，以虚拟机为目标主机进行实验。

个别实验学生可以以2人一组的形式，互为攻击方和被攻击方来做实验。

1、链接拓扑图

2、木马制作

根据攻防实验制作灰鸽子木马，首先配置服务程序。

3、木马种植

通过漏洞或溢出得到远程主机权限，上传并运行灰鸽子木马，本地对植入灰鸽子的主机进行连接，看是否能连接灰鸽子。

（如无法获得远程主机权限可将生成的服务器程序拷贝到远程主机并运行）

4、木马分析

将木马制作实验中产生的服务器端程序在网络上的另外一台主机上

启动icesword检查开放进程，进程中多出了IEXPLORE.exe进程，这个进程即为启动灰

鸽子木马的进程，起到了隐藏灰鸽子自身程序的目的。

首先，停止当前运行的IEXPLORE程序，并停止huigezi服务，将windows目录下的huigezi.exe文件删除，重新启动计算机即可卸载灰鸽子程序。

Word宏病毒实验

了解word宏病毒的实现方法；

掌握防治word宏病毒的方法。

WindowsXP，word宏病毒

动手实现word宏病毒的代码编写，熟悉word宏病毒的作用机制，然后对其进行查杀，掌握清除word宏病毒的方法。

1）编写自己的宏病毒（本实验使用示例1的代码）；

2）对doc1进行病毒殖入；

3）实验效果；

4）病毒清除；

点击启动试验台启动虚拟机，进入虚拟机后点击桌面病毒实验快捷方式进入病毒实验模块1

对doc1进行病毒殖入首先设置word安全性

进入project（Doc1）中的ThisDocument，将示例代码copy到此

关闭doc1文档，另外更改word中宏的安全级别，然后再点击面板中的启动doc1,具体的步骤如下图所示

这时再打开其它doc文件，便都会发生弹出对话框的效果：

HTML恶意代码实验

了解HTML恶意代码编写原理；

掌握HTML恶意代码运行机制；

能够对HTML恶意代码进行相应的防治。

WindowsXP/2003，IE6.0或以上版本

利用实验面板中给出的代码，进行相关操作，实现恶意攻击，然后针对HTML恶意攻击，进行相应的防治。

1）利用操作面板中代码，进行test.html再加工；

2）恶意代码攻击现象；

3）进行相应的防治；

点击面板中编辑test网页。

将b.vbs中代码添入,并保存退出

点击面板中的双击test网页，

选择“是”

点击是，执行完成，运行结果如下图：

查看注册表中项，HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Mai已改变，如下图

如果将html放入iis中（其中IIS在控制面板中的管理工具中），被其他主机或者本机访问时，其主机的IE需要进行设置，便可不出现步骤

（1）中的提示了，如下图，将Internet和本地Intranet中的，自定义设置中的安全设置中所有的选项都启动

防治方法：

1、运行IE时，点击工具→Internet选项→安全→Internet区域的安全级别，把安全级别由中改为高。

具体方案是：

在IE窗口中点击工具→Internet选项，在弹出的对话框中选择安全标签，再点击自定义级别按钮，就会弹出安全设置对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择禁用。

2、一定要在计算机上安装防火墙，并要时刻打开实时监控功能。

3、在注册表的KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，增加名为DisableRegistryTools的DWORD值项，将其值改为1，即可禁止使用注册表编辑器命令regedit.exe。

因为特殊原因需要修改注册表，可应用如下解锁方法：

用记事本编辑一个recover.reg文件，其中的内容如下：

REGEDIT4HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"

DisableRegistryTools"

=dword:

00000000双击运行recover.reg即可。